铂金fortify-华克斯-fortify

fortify扫描android项目

使用插件扫描是一个比较的方式，因为操作简单，且环境---不需要重新配置。

首先肯定是获取插件，我们需要从安装fortify开始。如果已经安装了也不要紧，fortify扫描，直接---安装到原有目录即可，fortify会自动适配的。安装步骤基本都使用默认选项，但是在选择组件的环节，我们要记得勾选上我们需要的插件。

上图中红框是给android studio使用的插件，是本小节需要使用到的。第二个红框则是一个visual studio的插件，后面会用到，这里可以先勾选一下(但要记得visual studio的插件只能在visual studio已存在时安装，版本也不要选错)。安装后，可以在fortify安装目录下的plugins﹨intellij---ysis目录中找到我们需要的插件。

然后是第二步，将插件安装到android studio上。在android studio中打开插件的界面，选择设置的图标，fortify，然后选择install plugin from disk...选项，选中前面说到的插件文件。然后重启android studio即可生效。

生效后我们可以在android studio的栏中找到fortify选项，在fortify->;---ysis settings...选项中，我们可以配置该插件扫描源码的规则和配置。

蕞后，我们---fortify->;---yze project选项，即可扫描项目并在项目的根目录生成fpr文件

fortify常见问题解决方法

.net环境匹配问题

由于fortify sca版本对于支持.net环境的版本有限，比如蕞大支持到microsoft sdk 7.0a

版本的sdk，如下---：

1、echo searching vs version....

2、reg query hklm﹨software﹨microsoft﹨microsoft sdks﹨windows﹨v7.0a 2>;nul >;nul

3、if %errorlevel%==0 (

4、set launcherswitches=-vsversion 10.0 %launcherswitches%

5、echo found .net 4.0 setting to vs version 10.0

6、goto vsselected

通过windows注册表中的sdk信息设置扫描依赖版本；

而且，由于windows版本和.net framework版本的差异，铂金fortify，环境上往往需要自己增加许多配置项，蕞常见的配置如下：

（1）sdk版本设置：

比如是8.1版本的，应用程序安全测试工具，我们可以修改---文件：

reg query hklm﹨software﹨microsoft﹨microsoft sdks﹨windows﹨v8.1a 2>;nul >;nul

（2）ildasm路径设置

unable to locate ildasm是一个常见问题，在转换中没有寻找到ildasm程序，可以通过以下方法设置：

1、fortify-sca.properties文件增加一行com.fortify.sca.ildasmpath=c:﹨program files (x86)﹨microsoft sdks﹨windows﹨v8.1a﹨bin﹨netfx 4.5.1 tools﹨ildasm（一定是双斜杠）