文章目录

• 一、Fortify介绍
• • 1、Fortify简介
  • 2、Fortify原理
  • 3、Fortify SCA引擎介绍：
  • 4、Fortify支持语言
• 二、Fortify下载
• 三、Fortify安装
• • 1、双击exe文件
  • 2、点击next
  • 3、同意协议，点击下一步
  • 4、选择安装路径、点击下一步
  • 5、选择组件、点击下一步
  • 6、选择license、点击下一步
  • 7、选择更新服务器，这里可以不用填写
  • 8、移除之前版本选择No
  • 9、安装实例代码项目选择No
  • 10、准备安装、点击下一步
  • 11、等待安装中
  • 12、安装完成、点击Finish及完成安装
  • 13、替换jar包
  • 14、添加rules和ExternalMetadata
  • 15、运行fortify
  • 16、提示是否更新规则，我们选No
  • 17、打开后界面如下
• 四、修改语言为中文
• • 1、运行scapostinstall.cmd修改为中文
  • • 1. 运行scapostinstall.cmd
    • 2. 选择设置
    • 3. 选择常规设置
    • 4. 选择本地的
    • 5. 选择中文
    • 6. 退出设置面板
  • 2、直接再fortify前端面板修改设置
  • • 1. 进入选项
    • 2. 选择语种
• 五、Fortify简单扫描并导出报告
• • 1、打开工作台
  • 2、选择静态代码所在目录，进行扫描
  • 3、扫描完成
  • 4、导出报告
  • 5、查阅报告
• 六、相关资源

一、Fortify介绍

1、Fortify简介

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，通过与软件安全漏洞规则集进行匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

2、Fortify原理

首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree），将其源代码之间的调用关系，执行环境，上下文等分析清楚。
通过分析不同类型问题的静态分析引擎分析NST文件，同时匹配所有规则库中的漏洞特征，将漏洞抓取出来，然后形成包含详细漏洞信息的FPR结果文件，用AWB打开查看。

3、Fortify SCA引擎介绍：

数据量引擎：跟踪、记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎：分析过程中不安全的函数，方法的使用的安全问题。
结构引擎：分析程序上下文环境、结构中的安全问题。
控制流引擎：分析程序特定时间、状态下执行操作指令的安全问题。
配置引擎：分析项目配置中的敏感信息和配置确实的安全问题。

4、Fortify支持语言

FortifySCA支持的21语言，分别是：

1、asp.net
2、VB.Net
3、c#.Net
4、ASP
5、VBscript
6、VS6
7、java
8、JSP
9、javascript
10、HTML
11、XML
12、C/C++
13、PHP
14、T-SQL
15、PL/SQL
16、Action script
17、Object-C (iphone-2012/5)
18、ColdFusion5.0 - 选购
19、python -选购
20、COBOL - 选购
21、SAP-ABAP -选购

二、Fortify下载

CSDN有积分的小伙伴可以在CSDN直接下载，方便快捷，还能给我加几个积分，哈哈哈
CSDN下载链接：

https://download.csdn.net/download/qq_51577576/87341637

把百度网盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了 ？？？？？？

这里是我添加了两个链接，其中有一个是我自己百度网盘分享的，一个是我传到CSDN的，提示文章质量低下，然后我删了百度网盘分享链接。。。。。。
为了照顾到CSDN没有积分的小伙伴们，我最终还是把百度网盘的链接加上来了

百度网盘下载

把百度网盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了 ？？？？？？

三、Fortify安装

1、双击exe文件

2、点击next

3、同意协议，点击下一步

4、选择安装路径、点击下一步

5、选择组件、点击下一步

6、选择license、点击下一步

License在下载文件里面有

7、选择更新服务器，这里可以不用填写

8、移除之前版本选择No

9、安装实例代码项目选择No

10、准备安装、点击下一步

11、等待安装中

12、安装完成、点击Finish及完成安装

记得把自动更新取消，我们后续会设置中文

13、替换jar包

fortify安装：安装好之后，将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Core\lib目录下的同名包

14、添加rules和ExternalMetadata

将规则包rules，将文件放入\Core\config\目录下；

15、运行fortify

16、提示是否更新规则，我们选No

这里我直接截图标注标注反了

17、打开后界面如下

四、修改语言为中文

其实上面完成就已经是中文了，关键在于第十六步，一定要选择NO，不能让他自动更新规则。
那么如果不是中文如何改成中文呢，有两种方式。

1、运行scapostinstall.cmd修改为中文

1. 运行scapostinstall.cmd

安装路径\Fortify\Fortify_SCA_and_Apps_20.1.1\bin

2. 选择设置

我们直接输入2就行

[1] Migration...
[2] Settings...
[s] Display all settings
[q] Exit
Please select the desired action (1,2,s,q): 2

3. 选择常规设置

直接输入1就可以了

4. 选择本地的

直接输入1就可以了

5. 选择中文

输入zh_CN按回车就ok了

6. 退出设置面板

直接键入q退出就ok了

2、直接再fortify前端面板修改设置

1. 进入选项

重启fortify，选择菜单栏的options，接着选择options

2. 选择语种

根据如图选择，然后点击ok就设置完成了

五、Fortify简单扫描并导出报告

1、打开工作台

2、选择静态代码所在目录，进行扫描

我这里选择高级，让他自动识别

点击之后，跳转到文件目录，我们选择一个demo

确认信息，下一步

scan

3、扫描完成

查看扫描结果详细信息

4、导出报告

我们设置了中文语言之后导出的报告就是中文报告。

导出成功

5、查阅报告

这是我刚刚下载的PDF

打开发现是中文的，非常nice

六、相关资源

1、Fortify下载连接

文章来源：​​​​​​[ 代码审计篇 ] Fortify 安装及使用详解（一）Fortify 下载安装并设置语言为中文导出中文报告_fortify工具使用__PowerShell的博客-CSDN博客

本文章来自于互联网投稿，不拥有所有权，不承担相关法律责任，如有侵权，请联系到本人，一经查实，立即删除