Fortify工具的使用方式,安装后打开我的工作台如果源代码是java,选择Scan Java,源码是C#选择Scan VS,不知道的话选择Advanced Scan选择代码文件夹(不建议将文件夹拆开,如果文件夹过大,可要求开发人员拆开,按文件夹分开扫描),选择jdk的版本根据情况选择后,点击Scan,等待扫描扫描后的界面可通过菜单栏进行界面的组件的配置对结果进行分析,填写分析结论及备注信息点击菜单栏的reports,选择审计规则,导出即可。
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
