2018-03-01
Fortify SCA ( Static Code Analyzer ) 是很有名的白箱測試 (原始碼) 軟體,原本是 Fortify 公司開發的。
2003年,被 HP ( Hewlett-Packard) 公司併購,Fortify SCA 改名為 HP Fortify SCA (前面加上名稱 HP)。
2010年,變成 HPE ( Hewlett-Packard Enterprise) 安全產品之一,HP Fortify SCA 改名為 HPE Fortify SCA (前面加上名稱 HP)。
2016年9月,變成 MicroFocus 公司的產品,但是很多軟體畫面,依然可以看到 HPE 的字樣。
Fortify Software - Wikipedia
https://en.wikipedia.org/wiki/Fortify_Software
Static Analysis, Static Application Security Testing, SAST | Micro Focus
https://software.microfocus.com/en-us/products/static-code-analysis-sast/overview
安裝
先參照這篇安裝
[研究] MicroFocus Security Fortify SCA 17.20 安裝
http://shaurong.blogspot.com/2017/12/micro-focus-security-fortify-sca-1720.html
這篇談對 .NET Code 掃描
測試環境:電腦有安裝 .NET 4.7.1、4.7、4.6.2、、、等許多 .NET 版本。
開始掃描
Fortify SCA 對 .NET Code 掃描有兩種方法,一種是用 Plug-in 在 Visual Studio 環境中掃描;另一種不在 Visual Studio 中掃描,兩種方式各有優缺點。
用 Fortify Plugin for Visual Studio 進行掃描
(下圖) 掃描方法很簡單,在 Visual Studio 2017 點 Fortify 下拉選單,選 Analyze Solution。
(下圖) 掃描結果
(下圖) 右上角會出現「Analysis Results」視窗,說明 Critical、High、Medium、Low、Info、、、等級各有幾個、類別為甚麼、發生的檔案名稱、第幾行,直接點該項,中央畫面就會跳到檔案的特定行。
(下圖) Visual Studio 中央下方 會有此項問題的各種相關資訊,包括 Summary、Diagram、Detail、、、等。
(下圖) Fortify Plugin v17.20 for Visual Studio 2017 支援 WebForm + .NET 4.6.2。
Running: CLEAN : "-b" "WebApplication462" "-clean"
Running: INFO : "-show-runtime-properties" Running: TRANSLATE : -dotnet-version 4.6.2 @"C:\Users\Administrator\AppData\Local\Fortify\VS-15.0-17.20\WebApplication462\WebApplication462_Build.txt" Running: SCAN : "-scan" @"C:\Users\Administrator\AppData\Local\Fortify\VS-15.0-17.20\WebApplication462\WebApplication462_Scan.txt" Fortify SCA... |
(下圖) Fortify Plugin v17.20 for Visual Studio 2017 支援 WebForm + .NET 4.7.0。
Fortify SCA... Running: CLEAN : "-b" "WebApplication470" "-clean" Running: INFO : "-show-runtime-properties" Running: TRANSLATE : -dotnet-version 4.7 @"C:\Users\Administrator\AppData\Local\Fortify\VS-15.0-17.20\WebApplication470\WebApplication470_Build.txt" Running: SCAN : "-scan" @"C:\Users\Administrator\AppData\Local\Fortify\VS-15.0-17.20\WebApplication470\WebApplication470_Scan.txt" Fortify SCA... |
(下圖) Fortify Plugin v17.20 for Visual Studio 2017 不支援 .NET 4.7.1。
(可以用 Scan Wizard 掃描,請看另一篇)
Fortify SCA... Running: CLEAN : "-b" "WebApplication471" "-clean" Running: INFO : "-show-runtime-properties" Running: TRANSLATE : -dotnet-version 4.7.1 @"C:\Users\Administrator\AppData\Local\Fortify\VS-15.0-17.20\WebApplication471\WebApplication471_Build.txt" [error]: Invalid parameter 4.7.1 for command line argument -dotnet-version Fortify Static Code Analyzer 17.20.0183 Copyright (c) 2003-2017 Hewlett Packard Enterprise Development LP For command-line help, type 'sourceanalyzer -h' Running: SCAN : "-scan" @"C:\Users\Administrator\AppData\Local\Fortify\VS-15.0-17.20\WebApplication471\WebApplication471_Scan.txt" [error]: Unable to load build session with ID "WebApplication471". See log file for more details. |
********************************************************************************
儲存稽核計畫 (Audit Project)、再次開啟掃描結果
(下圖) 儲存稽核計畫和掃描結果
(下圖) 以後 double click 該 .fpr 檔案,會開啟掃描結果。
********************************************************************************
產生報告檔 pdf
因為 .fpr 只能在有安裝 Fortify SCA 的電腦上開啟,所以如果報告要給其他人,或在其他電腦上開啟,可以產生 pdf 報告檔案。
********************************************************************************
PS:Fortify Plugin v17.20 提供選項設定
********************************************************************************
Scan Wizard 部分請看這篇
[研究] Fortify SCA v17.20 Scan Wizard 白箱測試 (源碼) 掃描
[研究] Fortify SCA v17.20 Plugins for Visual Studio 和 Scan Wizard 掃描方式 優缺點比較
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-plugins-for-visual.html
相關
[研究] Fortify SCA Plugin v17.20 for Visual Studio 2017 v15.5.7 白箱測試 (原始碼) 掃描
[研究] Fortify SCA v17.20 Scan Wizard 白箱測試 (源碼) 掃描
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-scan-wizard.html
[研究] Fortify SCA v17.20 Plugins for Visual Studio 和 Scan Wizard 掃描方式 優缺點比較
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-plugins-for-visual.html
[研究] Fortify SCA v17.20 Plugins for Visual Studio 和 Scan Wizard 掃描方式 優缺點比較
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-plugins-for-visual.html
沒有留言:
張貼留言