Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。25 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE。
Fortify SCA是一款商业软件,价格较为昂贵,因此我只找到了一个早期的版本进行试用。因为是商业软件,它有详细的使用文档,查阅非常方便。它支持一些IDE的插件功能,在安装的时候会有选项。
Fortify SCA的代码审计功能依赖于它的规则库文件,我们可以下载更新的规则库,然后放置在安装目录下相应的位置。bin文件放置在安装目录下Coreconfigrules文件夹,xml文件放置在CoreconfigExternalMetadata文件夹(如果该文件夹没有则新建一个)。
打开Audit Workbench,点击Start New Project->Advanced Scan选项就可以快速开始一个审计任务。选择需要审计的应用程序根目录,在Additional Options选项中选择使用的规则库,在Audit Guide提出的四个问题中选择对应的选项,点击Run Scan即可。
支持的编程语言:
安装步骤:
一、解压补丁压缩包,把fortify.license和Fortify_SCA_23.1.0_windows_x64.exe、Fortify_Apps_and_Tools_23.1.0_windows_x64.exe
放在同一目录,不要有中文。
二、安装Fortify_SCA_23.1.0_windows_x64.exe,程序会自动找到fortify.license授权文件
三、安装Fortify_Apps_and_Tools_23.1.0_windows_x64.exe,程序会自动找到fortify.license授权文件
四、把fortify-common-23.1.0.0028.jar分别拷贝到 C:\Program Files\Fortify\Fortify_SCA_23.1.0\Core\lib\
和C:\Program Files\Fortify\Fortify_Apps_and_Tools_23.1.0\Core\lib\ 下替换覆盖掉原来的
五、解压FortifyRules_zh_CH_2023.1.1.0001(离线规则库).zip 规则库,把ExternalMetadata和rules文件夹拷贝到C:\Program Files\Fortify\Fortify_SCA_23.1.0\Core\config 下
六、运行C:\Program Files\Fortify\Fortify_Apps_and_Tools_23.1.0\bin 下的auditworkbench.cmd 即可开启GUI界面
七、根据需要配置扫描即可
2、规则库
直接本地无法升级规则库,离线升级及最新中英文规则库。
注意:
否则激活不了
(REMEMBER TO PUT fortify.license IN SAME PATH OF INSTALLER)
This new version of Fortify SCA has split the UI tools from the installer and made it CLI only.
To understand how to use it, refer to the user guide online or the documentation inside installer archives.
(记住将 fortify.license 放在安装程序的同一路径中)
这个新版本的 Fortify SCA 将 UI 工具从安装程序中分离出来,仅使用 CLI。
要了解如何使用它,请参阅在线用户指南或安装程序存档中的文档。
获取方式:
链接:https://pan.baidu.com/s/1B0Bm_JtdRSQIVAWuYoHtmQ?pwd=usai?
提取码:usai?