代碼掃描工具fortify概念:
Fortify 是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析,通過與軟件安全漏洞規則集進行匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,並可導出報告。掃描的結果中包括詳細的安全漏洞信息、相關的安全知識、修復意見。
這個是在windows上安裝部署的
- 解壓出來,選中Fortify_SCA_and_Apps_19.1.0_windows_x64.exe進行安裝
安裝的時候,選中lic,之后下一步一直安裝就可以了
2.啟動。選中這個,在Advanced Scan
選中存有代碼位置,之后選擇下一步
這里可以選擇其他代碼目錄,大項目可以進行拆分成多個目錄進行掃描
之后,點擊Scan進行掃描
3.掃描報告文檔導出
在這里選擇Security auditor view在切換成Quick view,可以看到不通的代碼問題
點擊report文檔導出,選擇developer workbook
