源代码检测工具fortify版本-fortify版本-华克斯

Fortify “Project Summary（项目摘要）”面板：

“Project Summary（项目摘要）”面板提供了关于扫描的详细信息。

“Summary（摘要）”选项卡

“Certification（认证）”选项卡

“Build Information（Build 信息）”选项卡

“Analysis Information（分析信息）”选项卡

项目摘要面板

“Summary（摘要）”选项卡：

“Summary（摘要）”选项卡显示了关于本项目的信息。

“Certification（认证）”选项卡：

“Certification（认证）”选项卡显示了结果认证状态。结果认证用于检查 FPR 文件是否与 Fortify SCA 所生成的文件一致。

一、 Fortify SCA概述

1、Source Code Analysis 阶段概述

Audit Workbench 会启动 Fortify SCA“Scanning（扫描）”向导来扫描和分析源代码。该向导整合了以下几个分析阶段：

转换：使用源代码创建中间文件，源代码与一个 Build ID相关联，Build ID通常就是项目名称。

扫描与分析：扫描中间文件，分析代码，并将结果写入一个Fortify Project Results(FPR)文件。

校验：确保所有源文件均包含在扫描过程中，使用的是正确的规则包，且没有报告重大错误。

2、安全编码规则包概述

安全编码规则包是 Fortify Software 安全研究小组多年软件安全经验的体现，源代码检测工具fortify版本，并且经过其不断努力改进而成。这些规则是通过对编码理论和常用编码实践的研究，而取得的软件安全知识的巨大积累，并且在 Fortify Software 安全研究小组的努力下不断扩展和改进。每个安全编码规则包均包含大量的规则，每个规则定义了一个被 source code analysis 检测出的特定异常行为。

一旦检测出安全问题，fortify版本，安全编码规则包会提供有关问题的信息，让开发人员能够计划并实施修复工作，这样比研究问题的安全细节更为有效。这些信息包括关于问题类别的具体信息、该问题会如何者利用，以及开发人员如何确保代码不受此漏洞的威胁。

安全编码规则包支持多种编程语言，源代码检测工具fortify版本，也支持各种经过扩展的第三方库和配置文件。

有关当前安全编码规则包的信息，请参见《安全编码规则包参考》。

在 Fortify SCA 转换阶段，该文件夹会变成蓝色，且文件会添加到类路径中：

选择项目的 Java 版本。

输入 Build ID。默认情况下，Build ID 为根目录。

输入 Fortify SCA 在分析阶段生成的 FPR 的路径和文件名。

单击 Next（下一步）。

系统会显示“Commandline Builder（命令行构建器）”对话框。

命令构建器

要跳过某一阶段，请取消勾选 Enable Clean（启用清除）、Enable Translation（启用转换）或 Enable Scan（启用扫描）复选框。