Fortify代碼掃描使用教程

1、進入Fortify安裝目錄，再進入bin目錄，雙擊d啟動程序

2、打開掃描窗口，點擊Scan Java Project

3、選擇要掃描的項目目錄，點擊確定按鈕

4、彈出java代碼版本選擇窗口，選擇版本后，點擊OK

5、彈出審計向導窗口，點擊Scan按鈕開始掃描

6、掃描開始，等待掃描結束，等待時間根據項目大小而定，可能時間會很長

7、掃描結束后，顯示掃描結果。

Fortify常見問題解決方法

內存不足問題

在應用Fortify SCA實施源代碼掃描過程中內存不足是分析器（sourceanalyzer）經常報出的一類問題，如下：

掃描過程中：

1、com.a.analyzer.AbortedException: There is not enough memory available

2、to complete analysis. For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我們必須對JVM參數進行調整，增加虛擬器內存大小。

（1）確認安裝64位的Fortify SCA程序；（這是一個眾所周知的JVM問題，32為虛擬機內存大小及其有限）；

（2）安裝一個64位的jre，并將其替換HP_FortifyHP_Fortify_SCA_and_Apps_3.80的jre目錄（就算你安裝了64位的Fortify SCA程序，該程序默認的jre仍然是32位的）；

Fortify “Project Summary（項目摘要）”面板：

“Project Summary（項目摘要）”面板提供了關于掃描的詳細信息。

“Summary（摘要）”選項卡

“Certification（認證）”選項卡

“Build Information（Build 信息）”選項卡

“Analysis Information（分析信息）”選項卡

項目摘要面板

“Summary（摘要）”選項卡：

“Summary（摘要）”選項卡顯示了關于本項目的信息。

“Certification（認證）”選項卡：

“Certification（認證）”選項卡顯示了結果認證狀態。結果認證用于檢查 FPR 文件是否與 Fortify SCA 所生成的文件一致。

Fortify SCA掃描結果展示

2.根據歷史的人工漏洞審計信息進行掃描報告合并如果我們的項目在以前做過fortify sca的掃描，并經過開發人員或安全人員審計，那么歷史的審計信息可以沿用，每個漏洞都有一個編號instance ID，已經審計過確認是誤報的漏洞是不會重復出現的。報告合并我們可以通過fortify ssc或者fortify sca的命令行或者圖形界面操作。

3.利用大數據分析和機器學習做漏洞誤報屏蔽目前這是正在探索的一個方向，但這個方式需要大量可靠的漏洞審計樣本，如果樣本少的話會很難操作。