河北fortify总代理-苏州华克斯

Fortify代码扫描使用教程

1、进入Fortify安装目录，再进入bin目录，双击d启动程序

2、打开扫描窗口，点击Scan Java Project

3、选择要扫描的项目目录，点击确定按钮

4、弹出java代码版本选择窗口，选择版本后，点击OK

5、弹出审计向导窗口，点击Scan按钮开始扫描

6、扫描开始，等待扫描结束，等待时间根据项目大小而定，可能时间会很长

7、扫描结束后，源代码审计工具fortify总代理，显示扫描结果。

Fortify扫描Qt项目

Fortify对于C++类型的代码扫描需要结合编译指令实现，源代码检测工具fortify总代理，但Fortify支持的C++指令并不多，所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦，河北fortify总代理，因为需要对于Qt的qmake工具运行逻辑有一定深入分析，熟知其生成的Makefile以来的环境和make工具，难度较大，所以更建议以Visual Studio的Fortify插件为入口，先将Qt项目转成Visual Studio项目，再使用插件扫描，这样就会容易很多。

我们简单介绍一下流程:

1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。

2、在Qt插件的Qt Opt选项中配置编译套件，该套件位置可以在Qt对应版本下面，比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。

3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目，源代码扫描工具fortify总代理，并使用插件的Convert custom build steps to Qt/MSBuild选项，将项目转成vs项目，并生成对应的.vcsproj文件。

测试能成功运行后，就可以使用Fortify进行扫描了。步骤类似与上面的Android项目，即可生成对应的fpr文件。另外，如果想要使用命令来自动化的进行项目扫描，但不知道一个类型的项目如何进行适配，可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.mand属性内容，里面包含了该项目生成扫描中间文件的指令参数，可以参考了解如何配置自动化的扫描平台。

Fortify Source Code Analysis Suite是目前在使用为广泛的软件源代码安全扫描，分析和软件安全风险管理软件。该软件多次荣获的软件安全大奖，包括InforWord， Jolt，SC Magazine….目前众多的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率，监视和管理软件安全的风险.

Fortify SCA源代码安全漏洞的审计功能：

1．安全漏洞扫描结果的汇总和问题优先级别划分功能。

2．安全审计自动导航功能

3．安全问题定位和问题传递过程跟踪功能。

4．安全问题查询和过滤功能。

5．安全问题审计结果、审计类别划分和问题旁注功能。

6．安全问题描述和推荐修复建议。