c/c++源码扫描系列- fortify 篇
环境搭建
linux搭建
解压的压缩包,源代码检测工具fortify工具,然后执行 ./fortify_sca_and_apps_19.2.1_linux_x64.run 按照引导完成安装即可,安装完成后进入目录执行source---yzer来查看是否安装完成
然后将 rules 和 externalmetadata 拷贝到对应的目录中完成规则的安装。
fortify的工作原理和codeql类似,华中fortify工具,首先会需要使用fortify对目标源码进行分析提取源代码中的信息,然后使用规则从源码信息中查询出匹配的代码。
fortify常见问题解决方法
内存不足问题
在应用fortify sca实施源代码扫描过程中内存不足是分析器(source---yzer)经常报出的一类问题,如下:
扫描过程中:
1、com.fortify.sca.---yzer.abortedexception: there is not enough memory available
2、to complete ---ysis. for details on --- more memory available;
there were 3 problems with insufficient memory. results may be incomplete.
因此,我们必须对jvm参数进行调整,源代码扫描工具fortify工具,增加虚拟器内存大小。
(1)确认安装64位的fortify sca程序;(这是一个众所周知的jvm问题,32为虚拟机内存大小及其有限);
(2)安装一个64位的jre,并将其替换hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨的jre目录(就算你安装了64位的fortify sca程序,该程序默认的jre仍然是32位的);
fortify sca 是 fortify ssc 解决方案的一部分,通过---的静态分析,对源代码进行漏洞检测。包括识别安全漏洞的---原因,将原因按---程度排序,并就漏洞修复提供详细的代码行指导。
fortify sca 能帮助企业---他们的软件是的,减少发现和修复应用程序漏洞的成本,并为安全编码建立基础。
源代码检测工具fortify工具-华克斯(商家)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是江苏 苏州 ,行业软件的见证者,多年来,公司贯彻执行科学管理、---发展、诚实守信的方针,满足客户需求。在华克斯---携全体员工热情欢迎---垂询洽谈,共创华克斯美好的未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/281489092.html
关键词:
滇公网安备 53011202000392号