Fortify SCA 集成生態(tài)

1、 靈活的部署選項(xiàng) 支持“應(yīng)用安全即服務(wù)”、內(nèi)部或云端部署

2、集成開(kāi)發(fā)環(huán)境（IDE） Eclipse、Visual Studio、JetBrains（包括 IntelliJ）

3、 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild

4、 問(wèn)題 Bugzilla，源代碼檢測(cè)工具fortify規(guī)則庫(kù)， Jira， ALM Octane

5、開(kāi)源安全管理 Sonatype， Snyk， WhiteSource， BlackDuck

6、 代碼庫(kù) GitHub， Bitet

7、 定制的 Swaggerized API

 Fortify Summary（摘要）：

Summary（摘要）選項(xiàng)卡顯示了關(guān)于當(dāng)前所選問(wèn)題的以下信息：

問(wèn)題審計(jì)面板中的摘要選項(xiàng)卡

下表描述了“Summary（摘要）”面板中的各個(gè)選項(xiàng)：

Details（詳細(xì)信息）：

Details（詳細(xì)信息）選項(xiàng)卡提供了有關(guān)所選問(wèn)題的詳細(xì)說(shuō)明，并提供了用于解決該問(wèn)題的指導(dǎo)方針。每項(xiàng)說(shuō)明均包括下表中所述的部分或全部欄目。

Recommendat（建議）

“Recommendat（建議）”選項(xiàng)卡包含有關(guān)如何避免引發(fā)該漏洞或修改該漏洞方法的建議與示例。

History（歷史記錄）

顯示完整的審計(jì)操作列表，其中包括以下詳細(xì)信息：日期和時(shí)間、執(zhí)行審計(jì)的計(jì)算機(jī)以及修正該問(wèn)題的用戶名稱。

Fortify掃描Qt項(xiàng)目

Fortify對(duì)于C 類型的代碼掃描需要結(jié)合編譯指令實(shí)現(xiàn)，但Fortify支持的C 指令并不多，源代碼審計(jì)工具fortify規(guī)則庫(kù)，所以有些類似使用Qt工具開(kāi)發(fā)的項(xiàng)目就需要做一定調(diào)整來(lái)適配Foritfy的掃描。使用gcc或者cl級(jí)別的命令來(lái)實(shí)現(xiàn)會(huì)很麻煩，因?yàn)樾枰獙?duì)于Qt的qmake工具運(yùn)行邏輯有一定深入分析，熟知其生成的Makefile以來(lái)的環(huán)境和make工具，難度較大，所以更建議以Visual Studio的Fortify插件為入口，先將Qt項(xiàng)目轉(zhuǎn)成Visual Studio項(xiàng)目，再使用插件掃描，華北fortify規(guī)則庫(kù)，這樣就會(huì)容易很多。

我們簡(jiǎn)單介紹一下流程:

1、在Visual Studio中安裝Qt Visual Studio Tools插件和Fortify插件。

2、在Qt插件的Qt Opt選項(xiàng)中配置編譯套件，該套件位置可以在Qt對(duì)應(yīng)版本下面，比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。

3、使用Qt插件的Open Qt Project File (.pro)...打開(kāi)對(duì)應(yīng)的Qt項(xiàng)目，源代碼審計(jì)工具fortify規(guī)則庫(kù)，并使用插件的Convert custom build steps to Qt/MSBuild選項(xiàng)，將項(xiàng)目轉(zhuǎn)成vs項(xiàng)目，并生成對(duì)應(yīng)的.vcsproj文件。

測(cè)試能成功運(yùn)行后，就可以使用Fortify進(jìn)行掃描了。步驟類似與上面的Android項(xiàng)目，即可生成對(duì)應(yīng)的fpr文件。另外，如果想要使用命令來(lái)自動(dòng)化的進(jìn)行項(xiàng)目掃描，但不知道一個(gè)類型的項(xiàng)目如何進(jìn)行適配，可以解壓使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.java.command屬性內(nèi)容，里面包含了該項(xiàng)目生成掃描中間文件的指令參數(shù)，可以參考了解如何配置自動(dòng)化的掃描平臺(tái)。

源代碼檢測(cè)工具fortify規(guī)則庫(kù)-華克斯由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是從事“Loadrunner,Fortify,源代碼審計(jì),源代碼掃描”的企業(yè)，公司秉承“誠(chéng)信經(jīng)營(yíng)，用心服務(wù)”的理念，為您提供更好的產(chǎn)品和服務(wù)。歡迎來(lái)電咨詢！聯(lián)系人：華克斯。