Fortify,如何通过命令启动分析

【问题标题】:Fortify, how to start analysis through commandFortify,如何通过命令启动分析
【发布时间】:2016-06-17 02:05:02
【问题描述】:

我们如何使用命令生成 FortiFy 报告???在 Linux 上。

在命令中,我们如何仅包含一些用于分析的文件夹或文件,以及我们如何提供存储报告的位置。等等

请帮忙....

谢谢, 卡提克

【问题讨论】:

    标签: fortify


    【解决方案1】:

    1.第 1 步(清理缓存)

    • 您需要在开始之前规划扫描结构:

    scanid = 9999(可以是任何你喜欢的)

    ProjectRoot = /local/proj/9999/

    WorkingDirectory = /local/proj/9999/working

    • (这个目录很大,每次扫描前都需要“rm -rf ./working && mkdir ./working”,否则字节码会堆积在这个目录下并快速消耗你的硬盘)

    log = /local/proj/9999/working/sca.log

    source='/local/proj/9999/source/src/**.*'

    classpath='local/proj/9999/source/WEB-INF/lib/*.jar; /local/proj/9999/source/jars/**.*; /local/proj/9999/source/classes/**.*'

    ./sourceanalyzer -b 9999 -Dcom.fortify.sca.ProjectRoot=/local/proj/9999/ -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile  /local/proj/working/9999/working/sca.log  -clean
    • 指定ProjectRoot很重要,如果不覆盖这个系统默认值,它会放在你的/home/user.fortify下
    • sca.log的位置很重要,如果fortify没有找到这个文件,就找不到字节码来扫描。
    • 如果您是唯一的用户,您可以一次性更改 ProjectRoot 和工作目录:FORTIFY_HOME/Core/config/fortify_sca.properties)。
    • 在这种情况下,您的命令行将是 ./sourceanalyzer -b 9999 -clean

    2。 Step#2(将源代码翻译成字节码)

    nohup ./sourceanalyzer -b 9999 -verbose -64 -Xmx8000M -Xss24M -XX:MaxPermSize=128M -XX:+CMSClassUnloadingEnabled -XX:+UseConcMarkSweepGC  -XX:+UseParallelGC -Dcom.fortify.sca.ProjectRoot=/local/proj/9999/ -Dcom.fortify.WorkingDirectory=/local/proj/9999/working  -logfile /local/proj/9999/sca.log -source 1.5 -classpath '/local/proj/9999/source/WEB-INF/lib/*.jar:/local/proj/9999/source/jars/**/*.jar:/local/proj/9999/source/classes/**/*.class'  -extdirs '/local/proj/9999/source/wars/*.war'  '/local/proj/9999/source/src/**/*'  &

    • 始终使用 unix 后台作业 (&),以防您与服务器的会话超时,它将继续工作。

    • cp :将所有已知的类路径放在这里,以进行强化以解决 functidfn 调用。如果未找到函数,fortify 将跳过源代码翻译,因此以后不会扫描这部分。您将获得较差的扫描质量,但 FPR 看起来不错(报告的问题很少)。准备好所有依赖项 jar 非常重要。

    • -extdir:把所有不想被扫描的目录/文件放在这里。

    • 最后一部分,' ' 之间的文件是你的来源。

    • -64 使用 64 位 java,如果不指定,将使用 32 位,并且最大堆应

    • -XX: 与启动应用服务器中的含义相同。仅使用这些来控制类堆和垃圾收集。这是为了调整性能。

    • -source是java版本(1.5到1.8)

    3.第 3 步(使用规则包、自定义规则、过滤器等进行扫描)

    nohup ./sourceanalyzer -b 9999  -64 -Xmx8000M -Dcom.fortify.sca.ProjectRoot=/local/proj/9999 -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/ssap/proj/9999/working/sca.log **-scan** -filter '/local/other/filter.txt' -rules '/local/other/custom/*.xml -f '/local/proj/9999.fpr' &

    • -filter:文件名必须为filter.txt,此文件中的任何ruleguid都不会上报。

    • 规则:这是您编写的自定义规则。 HP 规则包位于 FORTIFY_HOME/Core/config/rules 目录中

    • -scan : 告诉 fortify 引擎扫描现有 scanid 的关键字。如果您没有更改代码,您可以跳过第 2 步,只执行第 3 步,只想使用不同的过滤器/自定义规则

    4.步骤#4 从 FPR 文件生成 PDF(如果需要)

    ./ReportGenerator -format pdf -f '/local/proj/9999.pdf' -source '/local/proj/9999.fpr'

    【讨论】:

    • 感谢您的回答,也非常感谢您的耐心解释。我会尽快检查并更新。
    猜你喜欢
    • 1970-01-01
    • 2021-03-06
    • 2020-08-29
    • 1970-01-01
    • 2016-09-09
    • 2022-01-20
    • 1970-01-01
    • 2013-06-18
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode