源代码检测工具fortify工具-华克斯(推荐商家)

Fortify扫描Qt项目

Fortify对于C++类型的代码扫描需要结合编译指令实现，但Fortify支持的C++指令并不多，fortify工具，所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦，因为需要对于Qt的qmake工具运行逻辑有一定深入分析，熟知其生成的Makefile以来的环境和make工具，难度较大，所以更建议以Visual Studio的Fortify插件为入口，先将Qt项目转成Visual Studio项目，再使用插件扫描，这样就会容易很多。

我们简单介绍一下流程:

1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。

2、在Qt插件的Qt Opt选项中配置编译套件，该套件位置可以在Qt对应版本下面，比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。

3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目，源代码检测工具fortify工具，并使用插件的Convert custom build steps to Qt/MSBuild选项，将项目转成vs项目，并生成对应的.vcsproj文件。

测试能成功运行后，就可以使用Fortify进行扫描了。步骤类似与上面的Android项目，即可生成对应的fpr文件。另外，如果想要使用命令来自动化的进行项目扫描，但不知道一个类型的项目如何进行适配，源代码审计工具fortify工具，可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.mand属性内容，里面包含了该项目生成扫描中间文件的指令参数，源代码检测工具fortify工具，可以参考了解如何配置自动化的扫描平台。

C/C++源码扫描系列- Fortify 篇

环境搭建

本文的分析方式是在 Linux 上对源码进行编译、扫描，然后在 Windows 平台对扫描结果进行分析，所以涉及 Windows 和 Linux 两个平台的环境搭建。

Windows搭建

首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装

安装完成后，把 fortify-common-20.1.1.0007.jar 拷贝 Core﹨lib 进行，然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core﹨config﹨rules 的路径下，该路径下保存的是Fortify的默认规则库。

ExternalMetadata 下的文件也拷贝到 Core﹨config﹨ExternalMetadata 目录即可

执行 d 即可进入分析源码扫描结果的IDE.

Fortify Source Code Analysis Engine（源代码分析引擎）

采用数据流分析引擎，语义分析引擎，结构分析引擎，控制流分析引擎，配置分析引擎和特有的X-Tier从不同的方面查看代码的安全漏洞，化降低代码安全风险。

Fortify Secure Code rules：Fortify（软件安全代码规则集）

采用国际公认的安全漏洞规则和众多软件安全的建议，辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用，包括美国国土安全（CWE）标准、OWASP，PCI。。。等。

Fortify Audit Workbench （安全审计工作台）

辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines（源代码分析引擎）扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。

Fortify Rules Builder（安全规则构建器）

提供自定义软件安全代码规则功能，满足特定项目环境和企业软件安全的需要。

Fortify Source Code Analysis Suite plug in （Fortify SCA IDE集成开发插件）