Fortify 程式碼掃描安裝使用教程 

前言

    Fortify 能夠提供靜態和動態應用程式安全測試技術，以及執行時應用程式監控和保護功能。為實現高效安全監測，Fortify具有原始碼安全分析，可精準定位漏洞產生的路徑，以及具有1分鐘1萬行的掃描速度。
    Fortify SCA 支援豐富的開發環境、語言、平臺和框架，可對開發與生產混合環境進行安全檢查。 27 種程式語言 超過 911,000 個元件級 API 可檢測超過 961 個漏洞類別 支援所有主流平臺、構建環境和 IDE

• 對開發人員友好的語言覆蓋範圍 -- 支援 ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/C++、Classic ASP（含 VBScript）、COBOL、ColdFusion CFML、Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML
• 支援的 IDE -- Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio
• 支援的構建工具 -- Ant、Jenkins、Maven、MSBuild、Xcodebuild
• 支援的缺陷管理平臺 -- Jira、ALM、Bugzilla
• 支援的程式碼管理工具 -- Git、SVN、TFS
• 漏洞覆蓋範圍，包括 1000 多個 SAST 漏洞分類，以確保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等標準。

資源下載

百度網盤資源，需要自取

連結: https://pan.baidu.com/s/1UsY2Jv7HpMPKLXzHW5YSKA密碼: 3qt7

程式安裝

點選Next進行下一步

接受協議，點選Next

選擇安裝位置或者預設位置，點選Next

勾選你要安裝的外掛，點選Next下一步

選擇\fortify.license，點選下一步

選擇更新伺服器，這裡可以不用填寫

移除之前版本選擇No

安裝例項程式碼專案選擇No

準備安裝，點選Next即可進行安裝

安裝完成後需要把規則庫下的檔案解壓或者複製到安裝目錄的Core\config下

啟動程式

應用程式搜尋Scan Wizard，雙擊Audit Workbench啟動

點選選擇Advanced Scan，選要掃描的原始碼

如果掃的是比較大的一些專案，程式碼檔案比較大，可以選擇拆開一個資料夾一個資料夾的去掃，這樣也會快一點

點選Next

點選configure rulepacks選擇要掃描的選項，根據自己的情況而定

選擇配置記憶體大小，掃碼過程中常見的情況是記憶體不足導致帶不動，可以考慮換臺配置高的或者增加虛擬記憶體大小

根據情況而選定

接下來點選scan即可進行掃描

掃描完成後，會彈出通知框，可以檢視是否存在錯誤

點選OK，就可以檢視報告了

可以點選選擇結果檢視問題，會自動定位到有問題的程式碼位置

也可以通過屬性檢視問題詳情

點選Reports可將報告匯出到本地，可選擇匯出的內容和樣式

前言

    Fortify 能夠提供靜態和動態應用程式安全測試技術，以及執行時應用程式監控和保護功能。為實現高效安全監測，Fortify具有原始碼安全分析，可精準定位漏洞產生的路徑，以及具有1分鐘1萬行的掃描速度。
    Fortify SCA 支援豐富的開發環境、語言、平臺和框架，可對開發與生產混合環境進行安全檢查。 27 種程式語言 超過 911,000 個元件級 API 可檢測超過 961 個漏洞類別 支援所有主流平臺、構建環境和 IDE

• 對開發人員友好的語言覆蓋範圍 -- 支援 ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/C++、Classic ASP（含 VBScript）、COBOL、ColdFusion CFML、Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML
• 支援的 IDE -- Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio
• 支援的構建工具 -- Ant、Jenkins、Maven、MSBuild、Xcodebuild
• 支援的缺陷管理平臺 -- Jira、ALM、Bugzilla
• 支援的程式碼管理工具 -- Git、SVN、TFS
• 漏洞覆蓋範圍，包括 1000 多個 SAST 漏洞分類，以確保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等標準。

資源下載

百度網盤資源，需要自取

連結: https://pan.baidu.com/s/1UsY2Jv7HpMPKLXzHW5YSKA密碼: 3qt7

程式安裝

點選Next進行下一步

接受協議，點選Next

選擇安裝位置或者預設位置，點選Next

勾選你要安裝的外掛，點選Next下一步

選擇\fortify.license，點選下一步

選擇更新伺服器，這裡可以不用填寫

移除之前版本選擇No

安裝例項程式碼專案選擇No

準備安裝，點選Next即可進行安裝

安裝完成後需要把規則庫下的檔案解壓或者複製到安裝目錄的Core\config下

啟動程式

應用程式搜尋Scan Wizard，雙擊Audit Workbench啟動

點選選擇Advanced Scan，選要掃描的原始碼

如果掃的是比較大的一些專案，程式碼檔案比較大，可以選擇拆開一個資料夾一個資料夾的去掃，這樣也會快一點

點選Next

點選configure rulepacks選擇要掃描的選項，根據自己的情況而定

選擇配置記憶體大小，掃碼過程中常見的情況是記憶體不足導致帶不動，可以考慮換臺配置高的或者增加虛擬記憶體大小

根據情況而選定

接下來點選scan即可進行掃描

掃描完成後，會彈出通知框，可以檢視是否存在錯誤

點選OK，就可以檢視報告了

可以點選選擇結果檢視問題，會自動定位到有問題的程式碼位置

也可以通過屬性檢視問題詳情

點選Reports可將報告匯出到本地，可選擇匯出的內容和樣式