代码审计工具Fortify基本使用

最近接触到一款代码审计的工具 — Fortify SCA and Applications 22.2.0，现就其基本使用做一简单介绍！

Fortify是一个应用安全测试软件，是Micro Focus旗下AST（应用程序安全测试）产品。
Fortify能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能，包括静态代码分析器（SAST）、动态应用安全测试软件（DAST）、软件安全中心（SSC）和实时应用程序自我保护（RASP）。
Fortify具有以下特点：

• 源代码安全分析，精准定位漏洞产生的路径。
• 具有1分钟1万行的扫描速度。
• 启发式扫描，探索应用程序中的潜在风险。
• 云端支持，提供更加智能的代码分析服务。

工具安装与简单配置

工具在Windows系统上安装非常简单，不停的点击“下一步”即可完成。安装完成后，创建的程序组包括4个快捷方式，如下图所示：

• Audit Workbench：审计工作台
• Custom Rules Editor:自定义规则编辑器
• Fortify Software Documentation:在线文档
• Scan Wizard:扫描向导

升级中文规则库

打开Audit Workbench，点击菜单“Options–>Options…”,

1.点击“Security Content Management”，在“Update Security Content from Server”区的Locale中选择“Simplified Chinese”，点击“Update”按钮，完成后如下图所示：

如果受license限制，无法升级到最新的规则库，那么可行的方法就是通过其他渠道获取一个最新的中文规则库，手工对 ExternalMetadata 及 rules 两个文件夹的文件进行替换。
目录位置：

C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config

代码扫描

Fortify支持很多语言扫描，其中对Java支持最好，操作简单。

• 启动 Audit Workbench

• 点击“Scan Java Project…”,选定Java项目文件夹，

• 选定JDK版本

• 确定扫描参数，点击“Scan”开始代码扫描。

审计结果

扫描结束后，结果自动导入到 Audit Workbench，扫描出的问题分为4个等级：

• Critical:严重
• Hign：高
• Medium:中
• Low:低

对于每一个问题，可以在Audit区域进行审计操作，Analysis分为：

• Not an Issue:误报
• Reliability Issue:可靠性问题
• Bad Practice:不良行为
• Suspicious:可疑的
• Exploitable:可利用的

可以查看问题的详细说明以及处理建议，也可以导出PDF或XML格式的报告。如下图所示：

---

以上就是代码审计工具Fortify的基本用法。

本文到此结束，感谢您的观看！！！