代码测试工具Fortify最新版本介绍及实操
代码测试工具Fortify最新版本介绍及实操
Fortify是安全测试、代码审计中经常会用到的一款软件测试工具,支持超过27种语言,超过911,000个组件级API,覆盖810多个SAST漏洞分类。通过Fortify的安全编码规则库,可以定位漏洞根本原因,参考漏洞修复指南。
Fortify现在已发布的最新版本是Fortify 23.1.0 版本,首先我们先一起来看一下最新版本与老版本相比有哪些新功能,然后再带大家一起了解一下这款代码审计工具的实操。
Part.01
最新发布的 Fortify 23.1.0 版本,能高度兼容最新的软件技术,对运营环境常见的应用安全用例的兼容性也更加广泛,主要有以下更新:
特征
单独应用-Fortify静态代码分析器安装程序不再包含Fortify 静态代码分析器应用程序和工具。提供了一个单独的安装程序来安装Fortify 静态代码分析器应用程序和工具。
扫描策略-您可以设置扫描策略来识别最严重的漏洞。 有三种策略可供选择:
经典、安全或 DevOps。经典扫描策略是默认策略;它不会优先考虑分析结果。安全扫描策略用于从结果中排除与代码质量相关的问题。使用此策略专注于修正。devops扫描策略排除安全策略也排除的问题,并减少低优先级问题的数量。当速度是优先事项并且开发人员希望直接查看结果(无需中间审核)时,请使用此策略。
筛选文件-现在,您可以通过添加以下排除类型之一为筛选器文件设置排除阈值:
优先级、影响、可能性、置信度、概率和准确性。Linux上的.NET分析。您现在可以在Fortify Static Code Analyzer 的Linux 安装上翻译.NET代码。
平台
·macOS 13 on Intel and Apple
Silicon (compatibility mode)
·Red Hat Enterprise Linux 9.x
编译器
·Clang 14.0.3· gcc 11
·g++ 11· swiftc 5.8
语言
·.NET 7
·Apex 56 and 57
·ASP.NET Core 7
·C# 11
·Dart 2.12 - 2.18 / Flutter 2.0 -
3.3Rules for Dart/Flutter will
be released in Q2 2023.
·ECMAScript 2022
·Go 1.18 and 1.19
·Kotlin 1.7
·PHP 8.2
·Python 3.10, 3.11
·TypeScript 4.6 - 4.9
Part.02
1.通过“Audit Workbench”进行测试。
“Audit Workbench”支持Java语言源代码的测试。
(1) 打开桌面Fortify SCA代码审计引擎,在主页面选择代码测试语言类型
①Java语言-选择“Scan Java Project”
②非Java语言-选择“Advanced Scan”
(2)选择被测试代码所在目录
(3)选择Java版本
(4)运行代码测试
(5)查看代码测试结果
2.测试报告生成
①打开“Audit Workbench”中的“Tools-Reports”,选择“Generate BIRT Report”或者“Generate Legacy Report”
②在报告模板“Report Template”中选择“Developer Workbook”,点击“Generate”按钮,工具会自动生成报告
除此之外,还有另外两种模式,通过“Scan Wizard”进行测试和通过命令行进行测试,命令行方式支持各语言源代码的测试,这两种方式我们在后面的文章中将继续为大家介绍。
如您期望深入了解更多,欢迎致电咨询!021-33283860
文字及图片:上海太叶科技有限公司
