C/C++源碼掃描系列- Fortify 篇

環境搭建

本文的分析方式是在 Linux 上對源碼進行編譯、掃描，然后在 Windows 平臺對掃描結果進行分析，源代碼審計工具fortify報告中文插件，所以涉及 Windows 和 Linux 兩個平臺的環境搭建。

Windows搭建

首先雙擊 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安裝

安裝完成后，把 fortify-common-20.1.1.0007.jar 拷貝 Core﹨lib 進行，然后需要把 rules 目錄的規則文件拷貝到安裝目錄下的 Core﹨config﹨rules 的路徑下，該路徑下保存的是Fortify的默認規則庫。

ExternalMetadata 下的文件也拷貝到 Core﹨config﹨ExternalMetadata 目錄即可

執行 d 即可進入分析源碼掃描結果的IDE.

Foritfy SCA主要包含的五大分析引擎：

數據流引擎：跟蹤，記錄并分析程序中的數據傳遞過程所產生的安全問題。

語義引擎：分析程序中不安全的函數，方法的使用的安全問題。

結構引擎：分析程序上下文環境，結構中的安全問題。

控制流引擎：分析程序特定時間，狀態下執行操作指令的安全問題。

配置引擎：分析項目配置文件中的敏感信息和配置缺失的安全問題。

特有的X-Tier?：跨躍項目的上下層次，貫穿程序來綜合分析問題。

Fortify SCA 主要特性

1、覆蓋大部分對友好的語言，fortify報告中文插件，支持：

ABAP/BSP、Apex、、C# (.NET)、C/ C++、Classic、ASP（與 VBScript）、COBOL、ColdFusion CFML、Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等

2、 靈活的部署選項適應團隊開發環境，

比如：Fortify On Demand 允許團隊在完全基于 SaaS 的環境中工作；Fortify Hosted 通過在隔離的虛擬環境中工作，完全控制用戶數據，源代碼掃描工具fortify報告中文插件，為您提供 SaaS 和內部部署的效果；Fortify On-Prem 允許團隊對增強解決方案的所有方面有的控制權。

3、 安全助理，為開發人員提供實時的代碼、安全分析和結果。

它提供了結構和配置分析器，源代碼檢測工具fortify報告中文插件，這些分析器是專門為速度和效率而建立的，以支持我們即時的安全反饋工具；安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真實陽性或假陽性概率非常低——的結果。

安全助理還可以作為開發人員的額外工作助手，與靜態掃描結合使用，幫助獲得更的安全問題視圖。目前，所有 Fortify SCA 和Fortify On-Prem SCA 的客戶無需額外的許可證或費用，即可使用安全助理。