Fortify,如何通过命令开始分析
Fortify, how to start analysis through command
我们如何使用命令生成 FortiFy 报告???在 linux.
在命令中,我们如何只包含一些用于分析的文件夹或文件以及我们如何给出存储报告的位置。等等
请帮忙....
谢谢,
卡尔提克
1.步骤#1(清理缓存)
- 开始前需要规划扫描结构:
scanid = 9999 (can be anything you like)
ProjectRoot = /local/proj/9999/
WorkingDirectory = /local/proj/9999/working
- (this dir is huge, you need to "rm -rf ./working && mkdir ./working" before every scan, or byte code piles underneath this dir and consume your harddisk fast)
log = /local/proj/9999/working/sca.log
source='/local/proj/9999/source/src/**.*'
classpath='local/proj/9999/source/WEB-INF/lib/*.jar; /local/proj/9999/source/jars/**.*; /local/proj/9999/source/classes/**.*'
./sourceanalyzer -b 9999 -Dcom.fortify.sca.ProjectRoot=/local/proj/9999/ -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/proj/working/9999/working/sca.log -clean
- 指定 ProjectRoot 很重要,如果不覆盖此系统默认值,它将放在您的 /home/user.fortify
下
- sca.log location很重要,如果fortify找不到这个文件,就找不到要扫描的字节码。
- 如果您是唯一的用户,您可以一次性更改 ProjectRoot 和工作目录:FORTIFY_HOME/Core/config/fortify_sca.properties).
- 在这种情况下,您的命令行将是 ./sourceanalyzer -b 9999 -clean
2。步骤#2(将源代码翻译成字节码)
nohup ./sourceanalyzer -b 9999 -verbose -64 -Xmx8000M -Xss24M -XX:MaxPermSize=128M -XX:+CMSClassUnloadingEnabled -XX:+UseConcMarkSweepGC -XX:+UseParallelGC -Dcom.fortify.sca.ProjectRoot=/local/proj/9999/ -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/proj/9999/sca.log -source 1.5 -classpath '/local/proj/9999/source/WEB-INF/lib/*.jar:/local/proj/9999/source/jars/**/*.jar:/local/proj/9999/source/classes/**/*.class' -extdirs '/local/proj/9999/source/wars/*.war' '/local/proj/9999/source/src/**/*' &
始终是 unix 后台作业 (&),以防您与服务器的会话超时,它将继续工作。
cp :将所有已知的 classpath 放在这里以强化解析 functiodfn 调用。如果没有找到函数,fortify 会跳过源码翻译,所以后面不会扫描这部分。您将获得较差的扫描质量,但 FPR 看起来不错(报告的问题很少)。准备好所有依赖项 jar 很重要。
-extdir: 把所有directories/files你不想被扫描到这里
最后一部分,“ ”之间的文件是您的来源。
-64 是使用 64 位 java,如果不指定,将使用 32 位并且最大堆应该 <1.3 GB(-Xmx1200M 是安全的)。
-XX:同启动应用服务器中的含义。仅使用这些来控制 class 堆和垃圾回收。这是为了调整性能。
-源是java版本(1.5到1.8)
3。步骤#3(使用规则包、自定义规则、过滤器等进行扫描)
nohup ./sourceanalyzer -b 9999 -64 -Xmx8000M -Dcom.fortify.sca.ProjectRoot=/local/proj/9999 -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/ssap/proj/9999/working/sca.log **-scan** -filter '/local/other/filter.txt' -rules '/local/other/custom/*.xml -f '/local/proj/9999.fpr' &
-filter: 文件名必须是filter.txt,这个文件中的任何ruleguid都不会被报告。
rules:这是你写的自定义规则。 HP 规则包在 FORTIFY_HOME/Core/config/rules 目录
-scan : 告诉 fortify 引擎扫描现有 scanid 的关键字。如果您没有更改代码,您可以跳过第 2 步,只执行第 3 步,只是想玩不同的 filter/custom 规则
4.步骤#4 从 FPR 文件生成 PDF(如果需要)
./ReportGenerator -format pdf -f '/local/proj/9999.pdf' -source '/local/proj/9999.fpr'
我们如何使用命令生成 FortiFy 报告???在 linux.
在命令中,我们如何只包含一些用于分析的文件夹或文件以及我们如何给出存储报告的位置。等等
请帮忙....
谢谢, 卡尔提克
1.步骤#1(清理缓存)
- 开始前需要规划扫描结构:
scanid = 9999 (can be anything you like)
ProjectRoot = /local/proj/9999/
WorkingDirectory = /local/proj/9999/working
- (this dir is huge, you need to "rm -rf ./working && mkdir ./working" before every scan, or byte code piles underneath this dir and consume your harddisk fast)
log = /local/proj/9999/working/sca.log
source='/local/proj/9999/source/src/**.*'
classpath='local/proj/9999/source/WEB-INF/lib/*.jar; /local/proj/9999/source/jars/**.*; /local/proj/9999/source/classes/**.*'
./sourceanalyzer -b 9999 -Dcom.fortify.sca.ProjectRoot=/local/proj/9999/ -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/proj/working/9999/working/sca.log -clean
- 指定 ProjectRoot 很重要,如果不覆盖此系统默认值,它将放在您的 /home/user.fortify 下
- sca.log location很重要,如果fortify找不到这个文件,就找不到要扫描的字节码。
- 如果您是唯一的用户,您可以一次性更改 ProjectRoot 和工作目录:FORTIFY_HOME/Core/config/fortify_sca.properties).
- 在这种情况下,您的命令行将是 ./sourceanalyzer -b 9999 -clean
2。步骤#2(将源代码翻译成字节码)
nohup ./sourceanalyzer -b 9999 -verbose -64 -Xmx8000M -Xss24M -XX:MaxPermSize=128M -XX:+CMSClassUnloadingEnabled -XX:+UseConcMarkSweepGC -XX:+UseParallelGC -Dcom.fortify.sca.ProjectRoot=/local/proj/9999/ -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/proj/9999/sca.log -source 1.5 -classpath '/local/proj/9999/source/WEB-INF/lib/*.jar:/local/proj/9999/source/jars/**/*.jar:/local/proj/9999/source/classes/**/*.class' -extdirs '/local/proj/9999/source/wars/*.war' '/local/proj/9999/source/src/**/*' &
始终是 unix 后台作业 (&),以防您与服务器的会话超时,它将继续工作。
cp :将所有已知的 classpath 放在这里以强化解析 functiodfn 调用。如果没有找到函数,fortify 会跳过源码翻译,所以后面不会扫描这部分。您将获得较差的扫描质量,但 FPR 看起来不错(报告的问题很少)。准备好所有依赖项 jar 很重要。
-extdir: 把所有directories/files你不想被扫描到这里
最后一部分,“ ”之间的文件是您的来源。
-64 是使用 64 位 java,如果不指定,将使用 32 位并且最大堆应该 <1.3 GB(-Xmx1200M 是安全的)。
-XX:同启动应用服务器中的含义。仅使用这些来控制 class 堆和垃圾回收。这是为了调整性能。
-源是java版本(1.5到1.8)
3。步骤#3(使用规则包、自定义规则、过滤器等进行扫描)
nohup ./sourceanalyzer -b 9999 -64 -Xmx8000M -Dcom.fortify.sca.ProjectRoot=/local/proj/9999 -Dcom.fortify.WorkingDirectory=/local/proj/9999/working -logfile /local/ssap/proj/9999/working/sca.log **-scan** -filter '/local/other/filter.txt' -rules '/local/other/custom/*.xml -f '/local/proj/9999.fpr' &
-filter: 文件名必须是filter.txt,这个文件中的任何ruleguid都不会被报告。
rules:这是你写的自定义规则。 HP 规则包在 FORTIFY_HOME/Core/config/rules 目录
-scan : 告诉 fortify 引擎扫描现有 scanid 的关键字。如果您没有更改代码,您可以跳过第 2 步,只执行第 3 步,只是想玩不同的 filter/custom 规则
4.步骤#4 从 FPR 文件生成 PDF(如果需要)
./ReportGenerator -format pdf -f '/local/proj/9999.pdf' -source '/local/proj/9999.fpr'