Fortify

sourceanalyzer -b my_buildid -scan -f xxx.fpr

-b  取一个build的ID号,通常以这个项目名称加扫描时间为buildID
-Xmx 指定JVM使用的最大内存数,这个SCA的JVM使用得
-clean 清除之前的转换的NST, 一般于-b一起使用,在项目转换之前。
-show -files 在完成转换之后, 展示这次转换的文件,多用于检查转换是否成功、完整。
-exclude 指定转换所排除的文件类型或者文件夹。
-cp  指定项目所依赖的classpath, 主要用于JAVA项目
-jdk 指定项目所用的JDK版本

-encoding 指定转换时遇到非英文的字符时的编码方式, 如UTF-8, JBK
Touchless 指定于构建工具集成, 如makefile, ant 等
-nc 指定转换不需要编译,用于 c/C++项目,编译器不支持时。
-c 指定转换所用的编译器,主要在扫描C/C++项目时使用。
-libdirs 指定.net 项目所用的JDK版本。

-vsversion 指定VS的版本,VS2003, 2005, 2008, 2010, 分别为7.1, 8.0, 9.0, 10.0
-append 指定本次扫描的结果追加到另一个FPR结果中,一般用于大项目分为多个部分扫描,生成一个FPR的情况。

-bin 指定C、C++项目编译后的.o.exe文件
-f 指定生成扫描结果文件的名字和路径
-filter 指定一个过滤文件来屏蔽一些不想扫描出来的问题,如误报。

-scan 指定本次操作为SCA的扫描分析阶段
-show-build-ids 显示本机器上共有多少个buildID
-show-build-tree 显示每一个文件在转换时所依赖的文件
-show-build-waring 显示在转换过程或者扫描过程时的warning 信息
-disable-source-rendering 关闭在扫描过程中对源代码的加载。

时间: 2024-12-19 13:44:36

Fortify的相关文章

商业级别Fortify白盒神器介绍与使用分析

什么是fortify它又能干些什么? 答:fottify全名叫:Fortify SCA ,是HP的产品 ,是一个静态的.白盒的软件源代码安全测试工具.它通过内置的五大主要分析引擎:数据流.语义.结构.控制流.配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配.查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告. 它支持扫描多少种语言? 答:FortifySCA支持的21语言,分别是: 1. asp.net      2. VB.Net    

Fortify SCA 分析代码漏洞全解

上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具:Fortify SCA Demo 4.0.0.Fortify是一个在安全方面挺出名的公司,这里就不多说了.先介绍一下主角:Fortify SCA Demo 4.0.0,虽然现在不知道Fortify SCA的版本是多少,但可以肯定的是,Fortify SCA Demo 4.0.0是一个比较旧的Fortify SCA分析器了,并且还是Demo版的,所以无论是界面还是功能上都是比较简陋的.由于Fortify SCA不是开源的工具,这里就不

Fortify漏洞之Access Control: Database(数据越权)

继续对Fortify的漏洞进行总结,本篇主要针对 Access Control: Database(数据越权)的漏洞进行总结,如下: 1.Access Control: Database(数据越权) 1.1.产生原因: Database access control 错误在以下情况下发生: 1.      数据从一个不可信赖的数据源进入程序. 2.      这个数据用来指定 SQL 查询中主键的值. 示例 1:以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以构建和执行用于搜

Fortify漏洞之Cross-Site Scripting(XSS 跨站脚本攻击)

书接上文,继续对Fortify漏洞进行总结,本篇主要针对XSS跨站脚步攻击漏洞进行总结如下: 1.Cross-Site Scripting(XSS 跨站脚本攻击) 1.1.产生原因: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序.对于 Reflected XSS(反射型),不可信赖的源通常为 Web 请求,只影响攻击到当前操作用户:而对于 Persisted(也称为 Stored 持久型)XSS,该源通常为数据库或其他后端数据存储,可能影响多操作用户. 2. 未检验包含在动态内容中的

Fortify漏洞之Path Manipulation(路径篡改)

继续对Fortify的漏洞进行总结,本篇主要针对 Path Manipulation(路径篡改)的漏洞进行总结,如下: 1.Path Manipulation(路径篡改) 1.1.产生原因: 当满足以下两个条件时,就会产生 path manipulation 错误: 1. 攻击者可以指定某一文件系统操作中所使用的路径. 2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的. 例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行

Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入)和 Password Management: Hardcoded Password(密码硬编码)

继续对Fortify的漏洞进行总结,本篇主要针对  Dynamic Code Evaluation: Code Injection(动态脚本注入) 和 Password Management: Hardcoded Password(密码硬编码)  的漏洞进行总结,如下: 1.1.产生原因: 许多现代编程语言都允许动态解析源代码指令.这使得程序员可以执行基于用户输入的动态指令.当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时(如对当前的用户对象进行简单的计算或修改用户的状态),就会出

Fortify漏洞之 Log Forging(日志伪造)

继续对Fortify的漏洞进行总结,本篇主要针对 Log Forging(日志伪造)的漏洞进行总结,如下: 1.1.产生原因: 在以下情况下会发生 Log Forging 的漏洞: 1. 数据从一个不可信赖的数据源进入应用程序. 2. 数据写入到应用程序或系统日志文件中. 为了便于以后的审阅.统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录.根据应用程序自身的特性,审阅日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息. 如

Fortify源码安全检测工具

今天老大让查了一下Fortify和sonarquebe的区别,网上找到的Fortify的介绍,这里转发一下. 源网址为:http://bbs.51testing.com/forum.php?mod=viewthread&tid=1193122&ordertype=1 Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件.该软件多次荣获全球著名的软件安全大奖,包括InforWord, Jolt,SC Ma

[Fortify][.NET]Unreleased Resource: Streams 排除

明明同事用了using来确保区块结束时会调用Dispose()作到自动释放资源,但还是被源码检测工具fortify举报.呼~~来解题. 如下,Developer都很乖有使用using定义对象范围来让using区块结束时调用Dispose()作到自动释放资源 using (FileStream fsInFile = new FileStream(@"C:Testfile.txt", FileMode.Open, FileAccess.Read, FileShare.None)) { us