工具介绍:
Fortify SCA作为一款业内主流的静态代码扫描工具,被广泛应用于白盒测试中。与其他静态代码扫描工具相比,Fortify SCA的突出优势主要在于更加广泛地支持的语言和开发平台、更全面和权威的安全规则库使扫描更加全面、更加智能化的自定义规则可减少误报。近期Fortify SCA发布了最新版本Fortify 24.2.0,主要更新有:
1、功能/更新
·ARM JSON 模板 (IaC)
·AWS CloudFormation (IaC)
·扫描 .NET 需要 .NET SDK 8.0。
·默认 python 版本现在为 3。
·默认扫描策略从经典改为安全。安全扫描策略从分析结果中排除了与代码质量有关的问题。
·可指定未包含在 Fortify Static Code Analyzer 安装程序中的自定义 JDK 或 JRE 版本的位置。
·Fortify Static Code Analyzer 可自动检测带有 .cls 扩展名的文件内容,以确定它们是 Apex 还是 Visual Basic 代码。这消除了包含 -apex 选项的需要,该选项现已弃用。
·更新了 LOC(代码行数)计算:LOC 计算会返回新行的总数,包括空行和注释。LOC 值与你在代码编辑器中看到的值非常接近。由于计算 LOC 的方式发生了变化,因此不应将这些值与 OpenText Fortify Static Code Analyzer 以前版本的值进行比较。
2、Fortify 应用程序和工具安装程序
·现在包括独立的 Fortify ScanCentral SAST 客户端。
3、Fortify 审核工作台
·现在包括从 Fortify 软件安全中心下载分析结果的超时设置。
4、安全编码插件
·支持 Red Hat Enterprise Linux (RHEL) 9
·支持 macOS 14
·Fortify Visual Studio Extension 支持在 Fortify 软件安全中心修复分析结果时抑制问题和批量审核多个问题。
·Eclipse 的 Fortify 插件、IntelliJ IDEA 和 Android Studio 的 Fortify 分析插件以及 Visual Studio 的 Fortify 扩展支持使用独立的 ScanCentral SAST 客户端进行分析。
·支持 Eclipse 2023-12 和 2024-03
·支持 IntelliJ IDEA 2023.3 和 2024.1
·支持 Android Studio 2023.1 和 2023.2
·Fortify Analysis Plugin for IntelliJ IDEA and Android Studio、Fortify Plugin for Eclipse 和 Fortify Extension for Visual Studio 将在相关市场上提供。
5、新问题报告
·DISA STIG 5.3
·OWASP Mobile Top 10 2024
6、平台
·支持 macOS 14
7、语言
·Angular 16.1 和 16.2
·Apex 59 和 60
·C23
·Dart 3.1
·Django 5.0
·Flutter 3.13
·Go 1.21 和 1.22
·Java 21
·Kotlin 1.9
·PHP 8.3
·Scala 3,3.3-3.4 版本
·Swift 5.10
·TypeScript 5.1 和 5.2
·Visual Basic (http://VB.NET) 16.9
8、编译器
·gcc 13
·g++ 13
·Swiftc 5.9.2、5.10
9、构建工具
·Bazel 6.4.0
·CMake 3.23.3 及更高版本
·MSBuild 17.9
·xcodebuild 15.3
启动方法:
设置:
-
运行安装程序并选择安装路径。
-
确保将 fortify.license 文件保存在安装程序的同一目录中
-
安装后,将文件 fortify-common-24.2.0.0019.jar 替换到每个工具的路径中,例如:
-
Windows 上的 SCA:C:\Program Files\Fortify\Fortify_SCA_24.2.0\Core\lib
-
应用程序和工具:C:\Program Files\Fortify\Fortify_Apps_and_Tools_24.2.0\Core\lib
-
现在您就可以开始了!
-
对于 Linux 和 OSX,要运行 GUI ,请打开应用程序和工具的 bin 目录并运行名为“auditworkbench”的可执行文件
-
完成
规则设置:
-
在 SCA 目录规则路径中提取整个档案,例如 Windows:
-
C:\Program Files\Fortify\Fortify_SCA_24.2.0\Core\config\rules
下载链接:
-
https://pan.baidu.com/s/1jLl2fzXPPIB3bKTi_4agfg?pwd=5ihh
