介紹17.10版本安裝指導(dǎo)工具使用云端試用價值

介紹

??? Fortify SCA是一個靜態(tài)源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎對源代碼進行靜態(tài)的分析和檢測，分析的過程中與其特有的軟件安全漏洞規(guī)則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并整理生成完整的報告。掃描的結(jié)果中不但包括詳細的安全漏洞的信息，還會有相關(guān)的安全知識的說明，并提供相應(yīng)的修復(fù)建議。Fortify SCA支持超過25種開發(fā)語言，可檢測770個獨特的漏洞類別，并擁有超過970,000個組件級API。

????下圖是在Gartner 2019 Magic Quadrant for Application Security Testing所處的位置。synopsys是指coverity，Micro Focus指foritify，Veracode需要上傳代碼，所以國內(nèi)接觸不多，深耕北美和歐洲市場。IBM的產(chǎn)品是AppScan Source （我們知道的和WVS齊名的掃描器是 AppScan Standard for desktop），WhiteHat Security公司的產(chǎn)品是Sentinel，做一些開源軟件成分組成分析和 AST SaaS、黑盒平臺。

17.10版本

????為大家?guī)鞨PE_Security_Fortify_SCA_and_Apps_17.10_Windows和HPE_Security_Fortify_SCA_and_Apps_16.10_Mac的license版本，license到期時間為2032年，對應(yīng)的規(guī)則包也是17年的。Fortify軟件就是大名鼎鼎的白盒工具，目前不提供試用,最新版本是19.1.0。現(xiàn)在大家都使用同一套license放置在foritify的按照目錄下，所以只要找到安裝包，就可以復(fù)用license使用。經(jīng)測試該license不支持python語言，掃描JavaScript代碼有時候會卡死，不支持升級，但是掃描能力方面卓越、不需要更改系統(tǒng)時間，可導(dǎo)出報告，下面分享的windows和mac版本筆者已經(jīng)穩(wěn)定使用一年多了。

安裝指導(dǎo)

下載地址：

?HPE_Security_Fortify_SCA_and_Apps_17.10_Windows 鏈接：https://pan.baidu.com/s/1HzigpMQHxYOg_MiY06nqYg 提取碼：agdk?HPE_Security_Fortify_SCA_and_Apps_16.10_Mac.tar.gz 鏈接: https://pan.baidu.com/s/1Loixy8iKI6ClTZhxMvLgag 提取碼: 3tau

????推薦大家使用較新帶規(guī)則包的17.10，如果是mac環(huán)境就用16.10版本，16.10的windows版本在信安前線昨天有過分享代碼審計工具 Fortify SCA 16.10 crack版本下載，本文介紹的17.10的安裝包內(nèi)容如下：

16.10mac版本安裝包的內(nèi)容

mac版本安裝后

下載17.10后安裝時點擊運行windows_x64的安裝文件即可，安裝后將Fortify.license放置在安全根目錄進行激活，建議操作系統(tǒng)環(huán)境不低于8核8G的windows server2018。安裝完成后將2017Q1_EN這個規(guī)則包解壓，放置在foritify安裝目錄下的core\config\rule目錄。具體的規(guī)則逆向可以參考：https://bbs.huaweicloud.com/blogs/113747

工具使用

以thinkphp項目為例，下載源代碼后保存在本地。

打開foritify的掃描向?qū)乱徊郊纯?/p>

點擊執(zhí)行向?qū)傻腷at腳本，啟動執(zhí)行掃描。

生成的fpr文件可以使用fortify audit workbench軟件打開查閱結(jié)果。

云端試用

??? web服務(wù)器版本的foritify稱為Fortify軟件安全中心，發(fā)展歷程是從早期foritify360到現(xiàn)在的Fortify Software Security Center(SSC)，特點是工作流程的集合和使用機器學(xué)習(xí)自動驗證安全問題，如果想使用云端的foritify服務(wù)則可以使用Fortify on Demand，該鏈接提供15天試用：https://www.microfocus.com/en-us/products/static-code-analysis-sast/overview 使用郵箱注冊激活即可，推薦用https://10minutemail.com/10MinuteMail/index.html 申請一次性郵箱。注意：該SAAS服務(wù)需要以zip打包的形式將代碼上傳。以下是dashboard界面

以下是向?qū)Ы缑娴囊恍┬畔?#xff0c;筆者的使用感受是相比其他靜態(tài)分析軟件，其最大的優(yōu)勢集成了SDLC各周期，可以詳細的選擇應(yīng)用程序的類型和技術(shù)框架。

????該服務(wù)支持靜態(tài)的代碼掃描和導(dǎo)入URL的執(zhí)行動態(tài)黑盒掃描。也支持導(dǎo)入單機版foritify的fpr格式的報告。由于掃描需要在序列里等待，所以比較慢，大概需要一個小時。

下面是掃描apache-tomcat-9.0.14的結(jié)果：

價值

????代碼掃描的價值對于甲方企業(yè)是更多快好的發(fā)現(xiàn)漏洞，并提出更好的修復(fù)建議幫助修復(fù)降低漏報暴露的風(fēng)險、提升所交付軟件的安全屬性。對于乙方在于發(fā)現(xiàn)漏洞形成規(guī)則，積累到waf、ids。如何將其使用到有產(chǎn)出需要看安全建設(shè)的場景，成功的關(guān)鍵在于和業(yè)務(wù)方進行互動，貼合開發(fā)流程，如果你面臨每日構(gòu)建、上千個系統(tǒng)迭代的話，用商業(yè)工具自動化可以集成工單、積累數(shù)據(jù)驅(qū)動改進。應(yīng)用安全團隊在這方面依賴于整體基礎(chǔ)設(shè)施的能力，企業(yè)的信息安全策略也不會要求實現(xiàn)很多。如果單純考慮攻防視角挖洞的情況來看，商業(yè)引擎的優(yōu)勢其誤報率、漏報率低，比人工節(jié)省時間，支持語言種類豐富，可以作為一個十分有用的引擎；劣勢是不能基于專家經(jīng)驗和發(fā)現(xiàn)邏輯問題。筆者的做法是先掃一把，厘清框架結(jié)構(gòu)和判斷整體安全性，分析數(shù)據(jù)流。定制規(guī)則比較難，需要了解控制流和數(shù)據(jù)流分析進行污點分析。一般是已經(jīng)發(fā)現(xiàn)漏洞，然后摸索著寫規(guī)則，拉出來其他產(chǎn)品線的漏報。根據(jù)owasp benchmark的報告商業(yè)工具誤報率大約為40%，開源工具的誤報是70%，當(dāng)然白盒如果誤報高，漏報率（1-發(fā)現(xiàn)率）肯定低。請讀者們大膽使用工具極致自動化、流程化、智能化吧。

總結(jié)

以上是生活随笔為你收集整理的代码审计工具Fortify 17.10及Mac平台license版本的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。