Fortify SCA 白盒源代码审计初体验

Fortify SCA价格昂贵,网上甚至找不到安装包,分享一个安装包和安装说明,下载地址:
链接:http://pan.baidu.com/s/1O4szG 密码:sikm

1.Fortify?SCA的安装文件
2.Fortify?license(即安装授权文件)
3.Fortify的规则库文件(可在线下载最新的规则库)

主要包括这3个文件,先安装,安装完后进去安装目录覆盖fortify.license授权文件,其次需要去覆盖下规则库,在安装目录下的Core/Config里面,默认安装里面的规则库为空的,有新的规则库也可以放进去。
点Audit?Workbench启动Fortify SCA,另外这个版本是200802之前的,要把系统时间修改下才可以运行。而且导出的时间配置也是旧的,获取的当前的系统时间,安装后要修改一番,才能正常使用。扫了一个项目,发现不是很理想。期望后面一些项目的新问题可以扫出来。
针对漏洞审计工具还有别的,之前想写漏洞审计工具,也对漏洞审计的一些规则研究了一番,是需要积累很多规则库,而且并不是对所有项目都适用,比如有 些项目都是发接口增删改差的,这样就不是直接自己写的sql语句处理了,审计工具审计到的好多都会误报。漏洞审计工具收集了那么多规则已经不易了,漏洞审 计工具主要是分析漏洞报告,工具的用法很简单,代码审计就不是点几下了。有一门语言基础后,英语再好点,不好就下载个有道词典,看源代码审计报告还是不难 的。
php的白盒审计工具觉得Seay PHP代码审计工具不错,而Fortify SCA 支持大部分语言的代码审计,看Fortify SCA 的介绍,是运行后编译为中间代码去审计的,Seay PHP是根据规则库是匹配的,是一个纯静态审计工具,Fortify SCA 不晓得单不单纯,后面研究研究,本来想也是搞一个纯静态代码审计工具,目前国内还没发现这类工具,一些知名安全公司到是有安全基线工具,不过只有他们内部才能使用,只见过他们的报告。

 

《Fortify SCA 白盒源代码审计初体验》有1个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.