安全测试工具Fortify最新版本及使用操作演示

这篇具有很好参考价值的文章主要介绍了安全测试工具Fortify最新版本及使用操作演示。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

代码测试工具是安全测试、代码审计中经常会用到的一款软件测试工具,支持超过27种语言,超过911,000个组件级API,覆盖810多个SAST漏洞分类。通过Fortify的安全编码规则库,可以定位漏洞根本原因,参考漏洞修复指南。Fortify现在已发布的最新版本是Fortify 22.1.0 版本,首先我们先一起来看一下最新版本与老版本相比有哪些新功能,然后再带大家一起了解一下这款代码审计工具的实操。

最新发布的 Fortify 22.1.0 版本,能高度兼容最新的软件技术,对运营环境常见的应用安全用例的兼容性也更加广泛,主要有以下更新:

操作系统更新

新增对以下操作系统和版本的支持:

- macOS 12

- Windows 11

编译器更新

新增对以下编译器版本的支持:

- Clang 13.1.6

- OpenJDK javac 17

- Swiftc 5.6

- cl (MSVC) 2015 and 2022

构建工具更新

新增对以下构建工具版本的支持:

- Gradle 7.4.x

- MSBuild 14.0, 17.0, 17.1 and 17.2

- Xcodebuild 13.3 and 13.3.1

语言和框架更新

- C# 10

- .NET 6.0

- C/C++ 20

- HCL 2.0

- Java 17

- TypeScript 4.4 和 4.5

现在已经可以支持 Visual Studio 2022、IntelliJ 2021.x。Fortify Audit Workbench、Fortify Eclipse Complete Plugin 和 Fortify Extension for Visual Studio 中的选项菜单能够导入从客户门户下载的 Fortify 所有规则包。

现在在两个 FPR 之间能比较扫描文件的 LOC,并查看 FPR 分析文件的 LOC 计数(-loc),或使用 FPRUtility(-loc,-compareTo)在两个 FPR 之间比较 LOC 计数。

现在,用户可以通过服务器的“rulepackupdate.SocketReadTimeoutSeconds”属性配置 fortifyupdate 的 socket 超时。默认值是 180。

可以用 shortfilename 作为问题模板中的搜索修饰符,来过滤或隐藏与文件名匹配的问题。如果进行全路径匹配,可以继续使用文件搜索修饰符。

以上是代码测试工具Fortify最新版本的一些新的更新与亮点,接下来我们一起来看一下代码测试工具Fortify的实操。

1、通过“Audit Workbench”进行测试。

“Audit Workbench”支持Java语言源代码的测试

(1) 打开桌面Fortify SCA 20.1 代码审计引擎,在主页面选择代码测试语言类型。

①如果是Java语言项目,选择“Scan Java Project”

安全测试工具Fortify最新版本及使用操作演示

②如果是非Java语言,选择“Advanced Scan”

安全测试工具Fortify最新版本及使用操作演示

(3) 选择被测试代码所在目录

安全测试工具Fortify最新版本及使用操作演示

(4) 选择Java版本

安全测试工具Fortify最新版本及使用操作演示

(5) 进行代码测试配置

安全测试工具Fortify最新版本及使用操作演示

(6) 运行代码测试

安全测试工具Fortify最新版本及使用操作演示

(7) 查看代码测试结果

安全测试工具Fortify最新版本及使用操作演示

4、测试报告生成

①打开“Audit Workbench”中的“Tools-Reports”,选择“Generate BIRT Report”或者“Generate Legacy Report”

安全测试工具Fortify最新版本及使用操作演示

② 在报告模板“Report Template”中选择“Developer Workbook”,点击“Generate”按钮,工具会自动生成报告。

安全测试工具Fortify最新版本及使用操作演示
安全测试工具Fortify最新版本及使用操作演示

通过“Scan Wizard”进行测试

“Scan Wizard”支持Java、Python、C/C++、.Net、Go、PHP、Flex、Action Script、HTML、XML、JavaScript、TypeScript、Kotlin、SQL、ABAP、ColdFusion语言或框架源代码的测试。

(1)打开Scan Wizard

安全测试工具Fortify最新版本及使用操作演示

(2)选择Python文件所在目录

安全测试工具Fortify最新版本及使用操作演示
安全测试工具Fortify最新版本及使用操作演示
安全测试工具Fortify最新版本及使用操作演示

(3)确认测试工具自动识别内容

安全测试工具Fortify最新版本及使用操作演示

(4)选择库文件

安全测试工具Fortify最新版本及使用操作演示

(5)生成脚本文件

安全测试工具Fortify最新版本及使用操作演示

(6)完成脚本文件生成

(7)执行生成的脚本文件

安全测试工具Fortify最新版本及使用操作演示

通过命令行进行测试

命令行方式支持各语言源代码的测试

(1)Linux项目测试

以Linux下C/C++程序代码测试为例:

①代码编译在代码测试执行前,首先需要进行C/C++程序代码的编译,如下面的示例:gcc -I. -o hello.o -c helloworld.c通过gcc编译器将代码进行编译。

②代码测试在代码编译后,使用sourceanalyzer命令进行代码文件测试。sourceanalyzer -b <build_id> gcc -I. -o hello.o -c helloworld.c

(a)使用Apple “xcode-select command-line tool”设置Xcode path,同时供Fortify使用。

(b)确保项目相关依赖库文件已经包含在项目中。

(c)针对Swift代码,确保所有第三方模块都已经被包含,包括Cocoapods。

(d)如果项目中包含二进制的属性列表文件,需要将它们转化为XML格式,通过Xcode的putil命令进行转换。

(e)针对Objective-C项目,需要保证头文件能够被获取。

(f)针对WatchKit应用,需要同时转化iPhone应用和WatchKit扩展目标。

③ iOS代码测试执行sourceanalyzer -b <build_id> xcodebuild [<compiler_options>]

(2)iOS项目测试

① iOS项目测试条件

(a) iOS项目需要使用non-fragile Objective-C runtime模式(ABI version 2或3)

(b) 使用Apple “xcode-select command-line tool”设置Xcode path,同时供Fortify使用。

(c) 确保项目相关依赖库文件已经包含在项目中。

(d) 针对Swift代码,确保所有第三方模块都已经被包含,包括Cocoapods。

(e) 如果项目中包含二进制的属性列表文件,需要将它们转化为XML格式,通过Xcode的putil命令进行转换。

(f) 针对Objective-C项目,需要保证头文件能够被获取。

(g) 针对WatchKit应用,需要同时转化iPhone应用和WatchKit扩展目标。

② iOS代码测试执行sourceanalyzer -b <build_id> xcodebuild [<compiler_options>]

测试报告生成

通过“Scan Wizard”生成测试报告

通过“Scan Wizard”方式进行测试执行,会生成.fpr测试结果文件,然后通过命令行方式基于测试结果文件生成测试报告文件。

通过命令行生成测试报告

通过“Scan Wizard”方式或命令行方式生成测试结果文件后,可以基于“ReportGenerator”命令生成测试报告。

下面示例中,基于.fpr结果文件生成PDF格式的测试报告。

ReportGenerator -format pdf -f <my_report>.pdf -source <my_results>.fpr<my_report>.pdf为命名的PDF格式测试报告名称,<my_results>.fpr为测试结果文件名称。

以上就是分享的所有内容,如需软件试用、不同安全测试工具参数比对等,可私信我。文章来源地址https://www.toymoban.com/news/detail-495510.html

到了这里,关于安全测试工具Fortify最新版本及使用操作演示的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【十年网络安全工程师整理】—100渗透测试工具使用方法介绍

     渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对 某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告, 并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告, 可以清晰知晓系统中存在的安

    2024年02月02日
    浏览(47)
  • 渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤

            HCL AppScan Standard是安全专家和渗透测试者设计的动态应用程序安全测试工具,AppScan使用强大的扫描引擎,会自动检索目标应用程序并测试漏洞。测试结果按优先级排列,允许操作员快速分类问题、发现最关键的漏洞。每个检测到的问题都可以根据清晰且可操作的修

    2024年02月09日
    浏览(44)
  • 开源安全测试工具 | 网络安全工具列表

    • AttackSurfaceMapper (https://github.com/superhedgy/AttackSurfaceMapper) - 自动化渗透测试工具, 使用手册/测试流程 (https://www.uedbox.com/post/59110/)。 • vajra (https://github.com/r3curs1v3-pr0xy/vajra) - 自动化渗透测试. • Savior (https://github.com/Mustard404/Savior) - 渗透测试报告自动生成工具!. • OneForAll (h

    2024年02月03日
    浏览(49)
  • 安全测试13款免费的测试工具!

    目录 前言: 1. Excercise in a Box 2. Needle 3. DevSlop 4. 移动安全框架(Mobile Security Framework) 5. Frida 6. Nishang 7. Tamper 8. InSpec

    2024年02月13日
    浏览(35)
  • 有了这几个软件安全测试工具,编写安全测试报告再也不愁

    软件的安全是开发人员、测试人员、企业以及用户共同关心的话题,尤其是软件产品的使用者,因为系统中承载着用户的个人信息、人际互动、管理权限等各类隐私海量关键数据。软件安全测试工作不仅是为了用户,更牵扯到许多的利益共同体。因此软件安全测试必不可少,

    2024年02月03日
    浏览(43)
  • 软件测试——版本管理工具:SVN和Git

    SVN是开放源代码的版本控制系统 集中式的含义是指:所有的文件都在仓库中,而他的仓库是在服务器上的,一旦服务器出现问题,就无法更新或者获取S VN中的信息,集中式的版本管理工具在本地备份的只是数据,没有层级结构。SVN就是集中式的工具 分布式的含义是指:并不

    2024年02月07日
    浏览(84)
  • 最佳的10款App安全测试工具

    网络安全重磅福利:入门进阶全套282G学习资源包免费分享! 移动互联网时代,我们的生活和工作深受 App 影响。伴随移动 App 的广泛应用,App 安全日益重要。本文介绍了 App 开发可能用到的安全测试工具。 当今, 全球移动用户大约超过37亿。 Google Play 上大约有 220 万个 App,

    2024年01月21日
    浏览(59)
  • DevSecOps之应用安全测试工具及选型

    上篇文章,有同学私信想了解有哪些DevSecOps工具,这里整理出来,供大家参考(PS: 非专业安全人士,仅从DevOps建设角度,给出自己见解) 软件中的漏洞和弱点很常见:84%的软件漏洞都是利用应用层的漏洞。软件相关问题的普遍性是使用应用安全测试(AST)工具的主要动机。

    2024年02月09日
    浏览(32)
  • Goby安全测试工具和Goby联动

    Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。我们希望能够输出更具生命力的工具,能够对标黑客的实际能力,帮

    2024年02月13日
    浏览(41)
  • 【网络安全】免费DDOS攻击测试工具

    DoS(Denial Of Service)攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。然而随着网络上免费的可用DDOS工具增多,Dos攻击也日益增长,

    2024年02月03日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包