Fortify安装及使用详情

Fortify安装

1. 双击Fortify_SCA_and_Apps_19.1.0_windows_x64.exe
2. 点击Next
3. 点击同意协议
4. 选择安装路径
5. 选择组件默认配置
6. （可选）更新服务器配置，默认配置即可
7. 移除之前版本选择No
8. 安装示例代码选择No（默认不需要安装）
9. 准备安装点击Next
10. 安装完成，把对钩去掉，点击Finish
11. 添加rules和ExternalMetadata

    这一步需要把安装包内的规则rules和ExternalMetadata还有fortify.properties一并放入安装根目录/Core/config下

12. 配置中文

    在安装根目录/bin下找到scapostinstall.cmd启动
    依次输入并且回车为Settings,General,Locale,回车即可设置成功
    最后输入q来进行退出Cmd窗口

13. 在开始菜单搜索Audit Workbench启动运行Fortify
14. 提示是否要更新规则，则勾选为No

    修改为中文重要的步骤，不然更新规则会丢失中文配置

15. 打开窗口之后选择Options下的Options
16. 选择Security Content Management并且设置弹出框底部为Update Security Content - zh_CN
17. 点击Update Security Content - zh_CN直至规则库页面日期为最新的日期
18. 调整文件处理编码（可选）

    编辑/Core/private-bin/awb/productlaunch.cmd
    在InstallRoot配置项后追加配置-Dfile.encoding=utf-8

---

扫描项目

• 窗体操作(Audit WorkBench)
  1. 选择主窗体左上角的File选项的Scan Java Project..
  2. 选择项目并且选择要使用的JDK版本
  3. Audit Guide Wizard页配置选择默认

     要注意第三项根据当前项目选择是否为web项目，按需选择
     

  4. 然后确认进入下一步等待代码审计完成
  5. （可选）导出报告,此选项在扫描完成后才有

     Tool->Generate BIRT Report
Report Template此项选择推荐Development WorBook
     
     电脑内存配置过低处理
     可在根目录下auditworkbench.cmd中增加对Jvm使用内存进行配置
     set JAVA_OPTS="-Xms2048m -Xmx4096m -XX:+UseG1GC"

• 命令行操作(SourceanaLyzer)

分析扫描结果

• 左侧工作区展示了按照类别区分的安全问题，可根据不同的问题所属处理查看问题

  对工作区出现问题的代码可右击进行忽略或者

• 中间工作区为代码区，可以查看扫描文件的相关代码
• 功能标签

  这里有许多标签，类别Eclipse集成编辑器，下列常用使用标签

  • Functions 用来展示全部扫描代码的索引用来快速查找相关代码文件
  • Details 查看安全问题涉及何种安全，提供详细和概述
  • Recommendations 给出推荐的解决方法
  • Warnings 提供编译或分析时出现某些问题的警告