最近接触到一款代码审计的工具 — Fortify SCA and Applications 22.2.0,现就其基本使用做一简单介绍!
Fortify是一个应用安全测试软件,是Micro Focus旗下AST(应用程序安全测试)产品。
Fortify能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能,包括静态代码分析器(SAST)、动态应用安全测试软件(DAST)、软件安全中心(SSC)和实时应用程序自我保护(RASP)。
Fortify具有以下特点:
- 源代码安全分析,精准定位漏洞产生的路径。
- 具有1分钟1万行的扫描速度。
- 启发式扫描,探索应用程序中的潜在风险。
- 云端支持,提供更加智能的代码分析服务。
工具安装与简单配置
工具在Windows系统上安装非常简单,不停的点击“下一步”即可完成。安装完成后,创建的程序组包括4个快捷方式,如下图所示:
- Audit Workbench:审计工作台
- Custom Rules Editor:自定义规则编辑器
- Fortify Software Documentation:在线文档
- Scan Wizard:扫描向导
升级中文规则库
打开Audit Workbench,点击菜单“Options–>Options…”,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2VmqGd5C-1689080012777)(https://cdn.staticaly.com/gh/soft1314/picx-images-hosting@master/20230711/中文规则.2le2isgqopu0.webp)]
1.点击“Security Content Management”,在“Update Security Content from Server”区的Locale中选择“Simplified Chinese”,点击“Update”按钮,完成后如下图所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Fmusl3AF-1689080012778)(https://cdn.staticaly.com/gh/soft1314/picx-images-hosting@master/20230711/中文规则1.4xfa0fy556k0.webp)]
如果受license限制,无法升级到最新的规则库,那么可行的方法就是通过其他渠道获取一个最新的中文规则库,手工对 ExternalMetadata 及 rules 两个文件夹的文件进行替换。
目录位置:
C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config
代码扫描
Fortify支持很多语言扫描,其中对Java支持最好,操作简单。
- 启动 Audit Workbench
- 点击“Scan Java Project…”,选定Java项目文件夹,
- 选定JDK版本
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pqu6jZqe-1689080012780)(https://cdn.staticaly.com/gh/soft1314/picx-images-hosting@master/20230711/scan.2h1bcpfhmqw0.webp)]
- 确定扫描参数,点击“Scan”开始代码扫描。
审计结果
扫描结束后,结果自动导入到 Audit Workbench,扫描出的问题分为4个等级:
- Critical:严重
- Hign:高
- Medium:中
- Low:低
对于每一个问题,可以在Audit区域进行审计操作,Analysis分为:
- Not an Issue:误报
- Reliability Issue:可靠性问题
- Bad Practice:不良行为
- Suspicious:可疑的
- Exploitable:可利用的
可以查看问题的详细说明以及处理建议,也可以导出PDF或XML格式的报告。如下图所示:
以上就是代码审计工具Fortify的基本用法。
本文到此结束,感谢您的观看!!!
![[GWCTF 2019]babyvm 题解](https://img-blog.csdnimg.cn/40e3ed00328f41ca93945ba727ab77b1.png)
