Fortify代碼掃描使用教程

1、進(jìn)入Fortify安裝目錄，再進(jìn)入bin目錄，雙擊d啟動程序

2、打開掃描窗口，點擊Scan Java Project

3、選擇要掃描的項目目錄，點擊確定按鈕

4、彈出java代碼版本選擇窗口，選擇版本后，點擊OK

5、彈出審計向?qū)Т翱冢c擊Scan按鈕開始掃描

6、掃描開始，等待掃描結(jié)束，等待時間根據(jù)項目大小而定，可能時間會很長

7、掃描結(jié)束后，顯示掃描結(jié)果。

Fortify常見問題解決方法

內(nèi)存不足問題

在應(yīng)用Fortify SCA實施源代碼掃描過程中內(nèi)存不足是分析器（sourceanalyzer）經(jīng)常報出的一類問題，如下：

掃描過程中：

1、com.a.analyzer.AbortedException: There is not enough memory available

2、to complete analysis. For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我們必須對JVM參數(shù)進(jìn)行調(diào)整，增加虛擬器內(nèi)存大小。

（1）確認(rèn)安裝64位的Fortify SCA程序；（這是一個眾所周知的JVM問題，32為虛擬機(jī)內(nèi)存大小及其有限）；

（2）安裝一個64位的jre，并將其替換HP_FortifyHP_Fortify_SCA_and_Apps_3.80的jre目錄（就算你安裝了64位的Fortify SCA程序，該程序默認(rèn)的jre仍然是32位的）；

Fortify “Project Summary（項目摘要）”面板：

“Project Summary（項目摘要）”面板提供了關(guān)于掃描的詳細(xì)信息。

“Summary（摘要）”選項卡

“Certification（認(rèn)證）”選項卡

“Build Information（Build 信息）”選項卡

“Analysis Information（分析信息）”選項卡

項目摘要面板

“Summary（摘要）”選項卡：

“Summary（摘要）”選項卡顯示了關(guān)于本項目的信息。

“Certification（認(rèn)證）”選項卡：

“Certification（認(rèn)證）”選項卡顯示了結(jié)果認(rèn)證狀態(tài)。結(jié)果認(rèn)證用于檢查 FPR 文件是否與 Fortify SCA 所生成的文件一致。

Fortify SCA掃描結(jié)果展示

2.根據(jù)歷史的人工漏洞審計信息進(jìn)行掃描報告合并如果我們的項目在以前做過fortify sca的掃描，并經(jīng)過開發(fā)人員或安全人員審計，那么歷史的審計信息可以沿用，每個漏洞都有一個編號instance ID，已經(jīng)審計過確認(rèn)是誤報的漏洞是不會重復(fù)出現(xiàn)的。報告合并我們可以通過fortify ssc或者fortify sca的命令行或者圖形界面操作。

3.利用大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)做漏洞誤報屏蔽目前這是正在探索的一個方向，但這個方式需要大量可靠的漏洞審計樣本，如果樣本少的話會很難操作。