簡介

Fortify 是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析，通過與軟件安全漏洞規則集進行匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并可導出報告。掃描的結果中包括詳細的安全漏洞信息、相關的安全知識、修復意見。

原理

-首先通過調用語言的編譯器或者解釋器把前端的語言代碼(如JAVA，C/C++源代碼)轉換成一種中間媒體文件NST(Normal Syntax Tree)，將其源代碼之間的調用關系，執行環境，上下文等分析清楚。

-通過分析不同類型問題的靜態分析引擎分析NST文件，同時匹配所有規則庫中的漏洞特征，將漏洞抓取出來，然后形成包含詳細漏洞信息的FPR結果文件，用AWB打開查看。

支持語言

1.asp.net

2.VB.Net

3.c#.Net

4.ASP

5.VS6

7.java

8.JSP

9.javascript

10.HTML

11.XML

12.C/C++

13.PHP

14.T-SQL

15.PL/SQL

16.Action script

17.Object-C (iphone-2012/5)

18.ColdFusion5.0 - 選購

19.python -選購

20.COBOL - 選購

21.SAP-ABAP -選購

掃描步驟

配置信息：HP Fortify SCA and Applications 4.10+WIN10(64位家庭版)

步驟1、打開fortify的工作臺

360截圖167203306411691.png

步驟2、如果源代碼是java，選擇Scan Java，源碼是C#選擇Scan VS，不知道的話選擇Advanced Scan

2.png

步驟3、選擇代碼文件夾(不建議將文件夾拆開，如果文件夾過大，可要求開發人員拆開，按文件夾分開掃描)

3.png

步驟4、確定后，彈出通知框，如下圖，選擇java版本，點擊OK

4.png

根據情況選擇后，點擊Scan，等待掃描

5.png

6.png

步驟5、掃描完成后的界面

360截圖17690619437688.png

360截圖17630328417186.png

tips：可通過菜單欄進行界面的組件的配置

360截圖17001022376126.png

步驟6、對結果進行分析，填寫分析結論及備注信息

360截圖1700102097141113.png

步驟7、點擊菜單欄的reports，選擇審計規則，導出即可

360截圖18250901395795.png

總結

以上是生活随笔為你收集整理的fotify php审计,代码安全审计（二）Fortify介绍及使用教程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。