Fortify SCA 掃描

Fortify SCA 的結(jié)果文件為.FPR文件，包括詳細(xì)的漏洞信息：漏洞分類，源代碼審計(jì)工具fortify代理商，漏洞產(chǎn)生的全路徑，漏洞所在的源代碼行，fortify代理商，漏洞的詳細(xì)說明及修復(fù)建議等。

1、首先清除上一次掃描的緩存：

sourceanalyzer -b SCG-AuthCenter -clean

2、掃描、編譯源碼，需要執(zhí)行依賴的jar包文件和源文件：

sourceanalyzer -encoding UTF-8 -Xmx1024M -b  DMC  -cp "D:/code/cct/DMC/src/main/webapp/WEB-INF/lib*.jar" -source 1.6 "D:/code/cct/DMC/src/main/java*.java"

3、生成fpr文件：

4、生成pdf文件：

讓 SAP “一眼傾心”，F(xiàn)ortify 的魅力難以抗拒！

基于 SAP 的產(chǎn)品安全戰(zhàn)略要求，開發(fā)過程中的靜態(tài)分析要確保所有應(yīng)用程序的安全性與抗擊網(wǎng)絡(luò)威脅的能力，從而保護(hù)客戶和公司的業(yè)務(wù)安全。Micro Focus Fortify 是助其成功的關(guān)鍵因素。

SAP 用自主維護(hù)的靜態(tài)分析工具來分析以專有 ABAP 語言編寫的應(yīng)用程序。但對于 Java（ABAP 后 SAP 蕞常用的編程語言），源代碼審計(jì)工具fortify代理商，公司決定采納第三方的服務(wù)。他們的選擇是行業(yè)的leader——Micro Focus Fortify，現(xiàn)在，SAP 已將 Fortify 完全整合到他們的開發(fā)全生命周期之中。

于是，SAP 與 Fortify 一起設(shè)計(jì)和實(shí)施了應(yīng)用靜態(tài)分析的綜合解決方案，即基于 Fortify 軟件安全中心（SSC）和 Fortify 靜態(tài)代碼分析器（SCA）的綜合解決方案，以 Java、C#、JSP 等語言為主。

Fortify “Analysis Trace（分析跟蹤）”面板：

當(dāng)您選擇某個(gè)問題后，Analysis Trace（分析跟蹤）面板會(huì)顯示相關(guān)的 trace output。通常情況下，這是一系列進(jìn)程點(diǎn)，顯示了分析器是如何找到該問題的。對于數(shù)據(jù)流和控制流問題，源代碼掃描工具fortify代理商，這一系列點(diǎn)會(huì)以執(zhí)行順序顯示。

例如，如果您選擇某個(gè)與可能被數(shù)據(jù)流相關(guān)的問題，Analysis Trace（分析跟蹤）面板會(huì)顯示這段源代碼中數(shù)據(jù)流的移動(dòng)方向。

“Analysis Trace（分析跟蹤）”面板使用以下圖標(biāo)來顯示本段源代碼中數(shù)據(jù)流的移動(dòng)方式：

表 1：分析跟蹤圖標(biāo)

蘇州華克斯-fortify代理商由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司擁有很好的服務(wù)與產(chǎn)品，不斷地受到新老用戶及業(yè)內(nèi)人士的肯定和信任。我們公司是商盟認(rèn)證會(huì)員，點(diǎn)擊頁面的商盟客服圖標(biāo)，可以直接與我們客服人員對話，愿我們今后的合作愉快！