苏州华克斯公司-源代码审计工具fortify采购

1、导航并查看分析结果

在您打开一个用来查看 fortify source code ---yzer (fortify sca) 所检测到的问题的 audit workbench 项目之后，源代码审计工具fortify采购，您可以在 summary（摘要）面板中审计这些问题，以反映这些问题的---级别，以及对该问题执行的安全分析状态。

系统会按审计结果的---性以及准确性，对审计结果进行分组，并在默认情况下将问题识别为位于“issues（问题）”面板中的 hot（---）列表内。单击 warning（---）和 info（信息），源代码扫描工具fortify采购，查看分组在这些列表中的问题。

每个列表中的问题数量显示在相关按钮下面。

要检验与 issues（问题）面板中所列问题相关的代码，选中该问题。源代码部分包含显示在源代码查看器面板中的问题，并在面板的中显示文件所包含问题的名称。

2、审计结果分析

本练习将会引导您浏览一下在练习 3 中使用 fortify sca 分析小程序产生的结果。请您检查 fortify sca 中各种不同分析器所发现的问题，并比较 fortify sca 生成的各种不同输出格式。

请考虑 userserv.java 的内容：

c/c++源码扫描系列- fortify 篇

环境搭建

linux搭建

解压的压缩包，源代码扫描工具fortify采购，然后执行 ./fortify_sca_and_apps_19.2.1_linux_x64.run 按照引导完成安装即可，安装完成后进入目录执行source---yzer来查看是否安装完成

然后将 rules 和 externalmetadata 拷贝到对应的目录中完成规则的安装。

fortify的工作原理和codeql类似，首先会需要使用fortify对目标源码进行分析提取源代码中的信息，然后使用规则从源码信息中查询出匹配的代码。