Fortify代碼掃描使用教程

1、進(jìn)入Fortify安裝目錄，再進(jìn)入bin目錄，雙擊d啟動(dòng)程序

2、打開掃描窗口，點(diǎn)擊Scan Java Project

3、選擇要掃描的項(xiàng)目目錄，點(diǎn)擊確定按鈕

4、彈出java代碼版本選擇窗口，選擇版本后，點(diǎn)擊OK

5、彈出審計(jì)向?qū)Т翱冢c(diǎn)擊Scan按鈕開始掃描

6、掃描開始，等待掃描結(jié)束，等待時(shí)間根據(jù)項(xiàng)目大小而定，可能時(shí)間會(huì)很長(zhǎng)

7、掃描結(jié)束后，顯示掃描結(jié)果。

Fortify常見問(wèn)題解決方法

內(nèi)存不足問(wèn)題

在應(yīng)用Fortify SCA實(shí)施源代碼掃描過(guò)程中內(nèi)存不足是分析器（sourceanalyzer）經(jīng)常報(bào)出的一類問(wèn)題，如下：

掃描過(guò)程中：

1、com.a.analyzer.AbortedException: There is not enough memory available

2、to complete analysis. For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我們必須對(duì)JVM參數(shù)進(jìn)行調(diào)整，增加虛擬器內(nèi)存大小。

（1）確認(rèn)安裝64位的Fortify SCA程序；（這是一個(gè)眾所周知的JVM問(wèn)題，32為虛擬機(jī)內(nèi)存大小及其有限）；

（2）安裝一個(gè)64位的jre，并將其替換HP_FortifyHP_Fortify_SCA_and_Apps_3.80的jre目錄（就算你安裝了64位的Fortify SCA程序，該程序默認(rèn)的jre仍然是32位的）；

Fortify “Project Summary（項(xiàng)目摘要）”面板：

“Project Summary（項(xiàng)目摘要）”面板提供了關(guān)于掃描的詳細(xì)信息。

“Summary（摘要）”選項(xiàng)卡

“Certification（認(rèn)證）”選項(xiàng)卡

“Build Information（Build 信息）”選項(xiàng)卡

“Analysis Information（分析信息）”選項(xiàng)卡

項(xiàng)目摘要面板

“Summary（摘要）”選項(xiàng)卡：

“Summary（摘要）”選項(xiàng)卡顯示了關(guān)于本項(xiàng)目的信息。

“Certification（認(rèn)證）”選項(xiàng)卡：

“Certification（認(rèn)證）”選項(xiàng)卡顯示了結(jié)果認(rèn)證狀態(tài)。結(jié)果認(rèn)證用于檢查 FPR 文件是否與 Fortify SCA 所生成的文件一致。

Fortify SCA掃描結(jié)果展示

2.根據(jù)歷史的人工漏洞審計(jì)信息進(jìn)行掃描報(bào)告合并如果我們的項(xiàng)目在以前做過(guò)fortify sca的掃描，并經(jīng)過(guò)開發(fā)人員或安全人員審計(jì)，那么歷史的審計(jì)信息可以沿用，每個(gè)漏洞都有一個(gè)編號(hào)instance ID，已經(jīng)審計(jì)過(guò)確認(rèn)是誤報(bào)的漏洞是不會(huì)重復(fù)出現(xiàn)的。報(bào)告合并我們可以通過(guò)fortify ssc或者fortify sca的命令行或者圖形界面操作。

3.利用大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)做漏洞誤報(bào)屏蔽目前這是正在探索的一個(gè)方向，但這個(gè)方式需要大量可靠的漏洞審計(jì)樣本，如果樣本少的話會(huì)很難操作。