SCA分析代码漏洞.doc

上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具:。Fortify是一个在安全方面挺出名的公司,这里就不多说了。先介绍一下主角:,虽然现在不知道FortifySCA的版本是多少,但可以肯定的是,,并且还是Demo版的,所以无论是界面还是功能上都是比较简陋的。由于FortifySCA不是开源的工具,这里就不提供下载了,大家可以上Fortify主页申请:>。这次演示的是用FortifySCA静态分析Java代码,和FindBugs不同的是FortifySCA还可以静态分析C/C++,.NET和PL/SQL等代码。,并且接触这个工具时间也有限,所以对它的工作原理认知比较浅,很多是通过它的说明文档得来的。 FortifySCA静态分析分两个阶段: : 把各种语言的源代码转为一种统一的中间语言代码。 : 根据中间代码分析代码漏洞,并得出报告。 Fortify有很多个语言转换器,但核心的静态分析引擎只有一套。: ,这里主要有两个文件:,,。这里我们还看到了一个FindBugs的目录,这是因为这个版本的Fortify集成了此功能,(但我一般不这么做,可以直接使用FindBugs的话,?)。开始扫描静态分析,首先CMD进入Java源代码目录,然后“H:\Fortify\-classpath"**/*.jar"-.”,。,效果如下图: 这里auditworkbench主要分4部分: (Issues):是警告分类,这里Fortify分了3了,严重程度由高至低分别是:hot,warning,info。下面是本次扫描的问题列表,双击即可定位问题代码。 :源代码。双击问题列表即可自动定位代码。 (analysistrace):问题处的Trace信息,告诉你问题出现在哪里文件第几行。 (details):问题的详细说明,还有示范代码。OK,现在看看其他地方,比如:menubar(Options)-->ShowView-->Other,你会看到下图: 这里我看到了一个很像eclipse管理插件的窗口,噢,难道.....OK,让我看看再找找Fortify的目录看看,找到了这个东西: 这里发现FortifySCA真的是一个Eclipse插件,不过当我兴冲冲地把这个插件放进myeclipse插件库并重启后,发现