代码审计工具Fortify 17.10及Mac平台license版本
介紹17.10版本安裝指導(dǎo)工具使用云端試用價(jià)值
介紹
??? Fortify SCA是一個(gè)靜態(tài)源代碼安全測(cè)試工具。它通過(guò)內(nèi)置的五大主要分析引擎對(duì)源代碼進(jìn)行靜態(tài)的分析和檢測(cè),分析的過(guò)程中與其特有的軟件安全漏洞規(guī)則集進(jìn)行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來(lái),并整理生成完整的報(bào)告。掃描的結(jié)果中不但包括詳細(xì)的安全漏洞的信息,還會(huì)有相關(guān)的安全知識(shí)的說(shuō)明,并提供相應(yīng)的修復(fù)建議。Fortify SCA支持超過(guò)25種開(kāi)發(fā)語(yǔ)言,可檢測(cè)770個(gè)獨(dú)特的漏洞類別,并擁有超過(guò)970,000個(gè)組件級(jí)API。
????下圖是在Gartner 2019 Magic Quadrant for Application Security Testing所處的位置。synopsys是指coverity,Micro Focus指foritify,Veracode需要上傳代碼,所以國(guó)內(nèi)接觸不多,深耕北美和歐洲市場(chǎng)。IBM的產(chǎn)品是AppScan Source (我們知道的和WVS齊名的掃描器是 AppScan Standard for desktop),WhiteHat Security公司的產(chǎn)品是Sentinel,做一些開(kāi)源軟件成分組成分析和 AST SaaS、黑盒平臺(tái)。
17.10版本
????為大家?guī)?lái)HPE_Security_Fortify_SCA_and_Apps_17.10_Windows和HPE_Security_Fortify_SCA_and_Apps_16.10_Mac的license版本,license到期時(shí)間為2032年,對(duì)應(yīng)的規(guī)則包也是17年的。Fortify軟件就是大名鼎鼎的白盒工具,目前不提供試用,最新版本是19.1.0。現(xiàn)在大家都使用同一套license放置在foritify的按照目錄下,所以只要找到安裝包,就可以復(fù)用license使用。經(jīng)測(cè)試該license不支持python語(yǔ)言,掃描JavaScript代碼有時(shí)候會(huì)卡死,不支持升級(jí),但是掃描能力方面卓越、不需要更改系統(tǒng)時(shí)間,可導(dǎo)出報(bào)告,下面分享的windows和mac版本筆者已經(jīng)穩(wěn)定使用一年多了。
安裝指導(dǎo)
下載地址:
?HPE_Security_Fortify_SCA_and_Apps_17.10_Windows 鏈接:https://pan.baidu.com/s/1HzigpMQHxYOg_MiY06nqYg 提取碼:agdk?HPE_Security_Fortify_SCA_and_Apps_16.10_Mac.tar.gz 鏈接: https://pan.baidu.com/s/1Loixy8iKI6ClTZhxMvLgag 提取碼: 3tau
????推薦大家使用較新帶規(guī)則包的17.10,如果是mac環(huán)境就用16.10版本,16.10的windows版本在信安前線昨天有過(guò)分享代碼審計(jì)工具 Fortify SCA 16.10 crack版本下載,本文介紹的17.10的安裝包內(nèi)容如下:
16.10mac版本安裝包的內(nèi)容
mac版本安裝后
下載17.10后安裝時(shí)點(diǎn)擊運(yùn)行windows_x64的安裝文件即可,安裝后將Fortify.license放置在安全根目錄進(jìn)行激活,建議操作系統(tǒng)環(huán)境不低于8核8G的windows server2018。安裝完成后將2017Q1_EN這個(gè)規(guī)則包解壓,放置在foritify安裝目錄下的core\config\rule目錄。具體的規(guī)則逆向可以參考:https://bbs.huaweicloud.com/blogs/113747
工具使用
以thinkphp項(xiàng)目為例,下載源代碼后保存在本地。
打開(kāi)foritify的掃描向?qū)乱徊郊纯?/p>
點(diǎn)擊執(zhí)行向?qū)傻腷at腳本,啟動(dòng)執(zhí)行掃描。
生成的fpr文件可以使用fortify audit workbench軟件打開(kāi)查閱結(jié)果。
云端試用
??? web服務(wù)器版本的foritify稱為Fortify軟件安全中心,發(fā)展歷程是從早期foritify360到現(xiàn)在的Fortify Software Security Center(SSC),特點(diǎn)是工作流程的集合和使用機(jī)器學(xué)習(xí)自動(dòng)驗(yàn)證安全問(wèn)題,如果想使用云端的foritify服務(wù)則可以使用Fortify on Demand,該鏈接提供15天試用:https://www.microfocus.com/en-us/products/static-code-analysis-sast/overview 使用郵箱注冊(cè)激活即可,推薦用https://10minutemail.com/10MinuteMail/index.html 申請(qǐng)一次性郵箱。注意:該SAAS服務(wù)需要以zip打包的形式將代碼上傳。以下是dashboard界面
以下是向?qū)Ы缑娴囊恍┬畔?#xff0c;筆者的使用感受是相比其他靜態(tài)分析軟件,其最大的優(yōu)勢(shì)集成了SDLC各周期,可以詳細(xì)的選擇應(yīng)用程序的類型和技術(shù)框架。
????該服務(wù)支持靜態(tài)的代碼掃描和導(dǎo)入U(xiǎn)RL的執(zhí)行動(dòng)態(tài)黑盒掃描。也支持導(dǎo)入單機(jī)版foritify的fpr格式的報(bào)告。由于掃描需要在序列里等待,所以比較慢,大概需要一個(gè)小時(shí)。
下面是掃描apache-tomcat-9.0.14的結(jié)果:
價(jià)值
????代碼掃描的價(jià)值對(duì)于甲方企業(yè)是更多快好的發(fā)現(xiàn)漏洞,并提出更好的修復(fù)建議幫助修復(fù)降低漏報(bào)暴露的風(fēng)險(xiǎn)、提升所交付軟件的安全屬性。對(duì)于乙方在于發(fā)現(xiàn)漏洞形成規(guī)則,積累到waf、ids。如何將其使用到有產(chǎn)出需要看安全建設(shè)的場(chǎng)景,成功的關(guān)鍵在于和業(yè)務(wù)方進(jìn)行互動(dòng),貼合開(kāi)發(fā)流程,如果你面臨每日構(gòu)建、上千個(gè)系統(tǒng)迭代的話,用商業(yè)工具自動(dòng)化可以集成工單、積累數(shù)據(jù)驅(qū)動(dòng)改進(jìn)。應(yīng)用安全團(tuán)隊(duì)在這方面依賴于整體基礎(chǔ)設(shè)施的能力,企業(yè)的信息安全策略也不會(huì)要求實(shí)現(xiàn)很多。如果單純考慮攻防視角挖洞的情況來(lái)看,商業(yè)引擎的優(yōu)勢(shì)其誤報(bào)率、漏報(bào)率低,比人工節(jié)省時(shí)間,支持語(yǔ)言種類豐富,可以作為一個(gè)十分有用的引擎;劣勢(shì)是不能基于專家經(jīng)驗(yàn)和發(fā)現(xiàn)邏輯問(wèn)題。筆者的做法是先掃一把,厘清框架結(jié)構(gòu)和判斷整體安全性,分析數(shù)據(jù)流。定制規(guī)則比較難,需要了解控制流和數(shù)據(jù)流分析進(jìn)行污點(diǎn)分析。一般是已經(jīng)發(fā)現(xiàn)漏洞,然后摸索著寫規(guī)則,拉出來(lái)其他產(chǎn)品線的漏報(bào)。根據(jù)owasp benchmark的報(bào)告商業(yè)工具誤報(bào)率大約為40%,開(kāi)源工具的誤報(bào)是70%,當(dāng)然白盒如果誤報(bào)高,漏報(bào)率(1-發(fā)現(xiàn)率)肯定低。請(qǐng)讀者們大膽使用工具極致自動(dòng)化、流程化、智能化吧。
總結(jié)
以上是生活随笔為你收集整理的代码审计工具Fortify 17.10及Mac平台license版本的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 牛客练习赛59 小松鼠吃松果(优化dp二
- 下一篇: codeql 代码审计