源代码扫描工具fortify规则-华克斯信息

Fortify SCA 扫描

Fortify SCA 的结果文件为.FPR文件，包括详细的漏洞信息：漏洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明及修复建议等。

1、首先清除上一次扫描的缓存：

sourceanalyzer -b SCG-AuthCenter -clean

2、扫描、编译源码，需要执行依赖的jar包文件和源文件：

sourceanalyzer -encoding UTF-8 -Xmx1024M -b  DMC  -cp 'D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar' -source 1.6 'D:/code/cct/DMC/src/main/java/**/*.java'

3、生成fpr文件：

4、生成pdf文件：

在 Fortify SCA 转换阶段，该文件夹会变成蓝色，且文件会添加到类路径中：

选择项目的 Java 版本。

输入 Build ID。默认情况下，Build ID 为根目录。

输入 Fortify SCA 在分析阶段生成的 FPR 的路径和文件名。

单击 Next（下一步）。

系统会显示“Commandline Builder（命令行构建器）”对话框。

命令构建器

要跳过某一阶段，源代码扫描工具fortify规则，请取消勾选 Enable Clean（启用清除）、Enable Translation（启用转换）或 Enable Scan（启用扫描）复选框。

Fortify 审计

Fortify扫描后生成的fpr文件，就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。

使用Fortify Audit Workbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项，源代码扫描工具fortify规则，左下角可以看到整个数据链路，了解数据的传递路径。视图中上位置是代码窗口，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，往往是因为Fortify默认的解析字节码是GBK，可以在选中代码文件后，点击Edit->Set Encoding...选项，源代码检测工具fortify规则，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全工程师确定问题，华中fortify规则，识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中，如果发现问题是误报，可以右键风险项，选择Hide in AWB，即可隐藏误报问题。

然后是生成报告，我们可以选择生成两种报告：

BIRT是统计报告，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项，是否显示。

Legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，可以提供给业务确认风险。