Fortify常(chang)見問題解決(jue)方法

內存不足問題

在應用Fortify SCA實(shi)施源代(dai)碼掃描(miao)過程中(zhong)內存不(bu)足是分(fen)析器（sourceanalyzer）經(jing)常報(bao)出(chu)的一類問題(ti)，如下：

掃描過程中：

1、com.a.analyzer.AbortedException: There is not enough memory available

2、to complete analysis. ?For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此(ci)，我們(men)必(bi)須對JVM參數(shu)進(jin)行調整，增加虛(xu)擬器內存大(da)小(xiao)。

（1）確認安(an)裝64位的Fortify SCA程序；（這是(shi)一個眾(zhong)所周知的JVM問題，32為(wei)虛擬機內存(cun)大小及其(qi)有限）；

（2）安裝一個64位的(de)jre，并將其替換HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的(de)jre目錄（就算你(ni)安裝了64位的(de)Fortify SCA程序，該(gai)程序默認的(de)jre仍(reng)然是32位的(de)）；

39;>

Fortify是Micro Focus旗下AST （應(ying)用(yong)(yong)程(cheng)序安(an)(an)全(quan)測試）產(chan)品(pin)，其產(chan)品(pin)組合包括：Fortify Static Code Analyzer提供靜(jing)態代碼分析(xi)器（SAST），Fortify WebInspect是動(dong)態應(ying)用(yong)(yong)安(an)(an)全(quan)測試軟(ruan)件（DAST），Software Security Centre是軟(ruan)件安(an)(an)全(quan)中(zhong)心（SSC）和 Application Defender 是實時應(ying)用(yong)(yong)程(cheng)序自我保護（RASP）。

Fortify 能夠提供靜態和(he)動(dong)態應用程序安全(quan)(quan)測(ce)試技(ji)術(shu)，以(yi)及運行(xing)時應用程序監控和(he)保護功能。為實現(xian)安全(quan)(quan)監測(ce)，源(yuan)(yuan)代(dai)碼(ma)審計工具fortify規則，Fortify具有(you)(you)源(yuan)(yuan)代(dai)碼(ma)安全(quan)(quan)分析，可定位漏洞產生(sheng)的路(lu)徑，以(yi)及具有(you)(you)1分鐘1萬行(xing)的掃(sao)描速度。

Fortify掃描(miao)Qt項(xiang)目(mu)

Fortify對于(yu)C++類(lei)型的(de)(de)(de)代碼掃描(miao)需(xu)要結合編譯指令實(shi)現，但Fortify支持的(de)(de)(de)C++指令并(bing)不(bu)多，源代碼檢測(ce)工具(ju)(ju)fortify規則，所(suo)以有些類(lei)似使用Qt工具(ju)(ju)開(kai)發(fa)的(de)(de)(de)項(xiang)目就(jiu)(jiu)需(xu)要做一定調整來適配Foritfy的(de)(de)(de)掃描(miao)。使用gcc或者cl級別的(de)(de)(de)命(ming)令來實(shi)現會很麻煩，因為(wei)需(xu)要對于(yu)Qt的(de)(de)(de)qmake工具(ju)(ju)運(yun)行邏輯(ji)有一定深入(ru)分析，熟(shu)知其生(sheng)成(cheng)的(de)(de)(de)Makefile以來的(de)(de)(de)環境和make工具(ju)(ju)，難度(du)較大，所(suo)以更建議(yi)以Visual Studio的(de)(de)(de)Fortify插件為(wei)入(ru)口，先將Qt項(xiang)目轉成(cheng)Visual Studio項(xiang)目，再使用插件掃描(miao)，這(zhe)樣就(jiu)(jiu)會容易很多。

我們簡單介(jie)紹一下流程(cheng):

1、在Visual Studio中安(an)裝(zhuang)Qt Visual Studio Tools插件和Fortify插件。

2、在Qt插件(jian)的Qt Opt選(xuan)項中配(pei)置編譯套件(jian)，該套件(jian)位置可以在Qt對應版本下(xia)面，比如(ru)Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。

3、使用(yong)Qt插件的Open Qt Project File (.pro)...打開(kai)對(dui)應的Qt項(xiang)目，并使用(yong)插件的Convert custom build steps to Qt/MSBuild選項(xiang)，將(jiang)項(xiang)目轉成(cheng)vs項(xiang)目，并生成(cheng)對(dui)應的.vcsproj文(wen)件。

測試(shi)能成(cheng)功運(yun)行后，就可以使(shi)(shi)用(yong)(yong)Fortify進行掃(sao)描(miao)了(le)。步(bu)驟(zou)類似與上面(mian)的(de)Android項目(mu)，即可生(sheng)成(cheng)對應(ying)的(de)fpr文(wen)(wen)件(jian)。另外，源(yuan)代(dai)碼審計工(gong)具fortify規則(ze)，如(ru)(ru)(ru)果(guo)想要使(shi)(shi)用(yong)(yong)命令(ling)(ling)來自動化(hua)的(de)進行項目(mu)掃(sao)描(miao)，fortify規則(ze)，但不知道一(yi)個類型的(de)項目(mu)如(ru)(ru)(ru)何進行適配(pei)，可以解壓使(shi)(shi)用(yong)(yong)插件(jian)生(sheng)成(cheng)的(de)fpr文(wen)(wen)件(jian)。查看其中audit.fvdl文(wen)(wen)件(jian)中的(de)sun.mand屬性內(nei)容，里面(mian)包含了(le)該項目(mu)生(sheng)成(cheng)掃(sao)描(miao)中間文(wen)(wen)件(jian)的(de)指令(ling)(ling)參數(shu)，可以參考了(le)解如(ru)(ru)(ru)何配(pei)置自動化(hua)的(de)掃(sao)描(miao)平臺。

源代碼審計工具fortify規則-華克斯-fortify規則由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是一家從事“Loadrunner,Fortify,源代碼審計,源代碼掃描”的公司。自成立以來，我們堅持以“誠信為本，穩健經營”的方針，勇于參與市場的良性競爭，使“Loadrunner,Fortify,Webinspect”品牌擁有良好口碑。我們堅持“服務至上，用戶至上”的原則，使華克斯在行業軟件中贏得了客戶的信任，樹立了良好的企業形象。 特別說明：本信息的圖片和資料僅供參考，歡迎聯系我們索取準確的資料，謝謝！