license 验证服务器唯一机器码_代码审计工具Fortify 17.10及Mac平台license版本
介紹17.10版本安裝指導工具使用云端試用價值
介紹
??? Fortify SCA是一個靜態源代碼安全測試工具。它通過內置的五大主要分析引擎對源代碼進行靜態的分析和檢測,分析的過程中與其特有的軟件安全漏洞規則集進行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,并整理生成完整的報告。掃描的結果中不但包括詳細的安全漏洞的信息,還會有相關的安全知識的說明,并提供相應的修復建議。Fortify SCA支持超過25種開發語言,可檢測770個獨特的漏洞類別,并擁有超過970,000個組件級API。
????下圖是在Gartner 2019 Magic Quadrant for Application Security Testing所處的位置。synopsys是指coverity,Micro Focus指foritify,Veracode需要上傳代碼,所以國內接觸不多,深耕北美和歐洲市場。IBM的產品是AppScan Source (我們知道的和WVS齊名的掃描器是 AppScan Standard for desktop),WhiteHat Security公司的產品是Sentinel,做一些開源軟件成分組成分析和 AST SaaS、黑盒平臺。
17.10版本
????為大家帶來HPE_Security_Fortify_SCA_and_Apps_17.10_Windows和HPE_Security_Fortify_SCA_and_Apps_16.10_Mac的license版本,license到期時間為2032年,對應的規則包也是17年的。Fortify軟件就是大名鼎鼎的白盒工具,目前不提供試用,最新版本是19.1.0。現在大家都使用同一套license放置在foritify的按照目錄下,所以只要找到安裝包,就可以復用license使用。經測試該license不支持python語言,掃描JavaScript代碼有時候會卡死,不支持升級,但是掃描能力方面卓越、不需要更改系統時間,可導出報告,下面分享的windows和mac版本筆者已經穩定使用一年多了。
安裝指導
下載地址:
?HPE_Security_Fortify_SCA_and_Apps_17.10_Windows 鏈接:https://pan.baidu.com/s/1HzigpMQHxYOg_MiY06nqYg 提取碼:agdk?HPE_Security_Fortify_SCA_and_Apps_16.10_Mac.tar.gz 鏈接: https://pan.baidu.com/s/1Loixy8iKI6ClTZhxMvLgag 提取碼: 3tau
????推薦大家使用較新帶規則包的17.10,如果是mac環境就用16.10版本,16.10的windows版本在信安前線昨天有過分享代碼審計工具 Fortify SCA 16.10 crack版本下載,本文介紹的17.10的安裝包內容如下:
16.10mac版本安裝包的內容
mac版本安裝后
下載17.10后安裝時點擊運行windows_x64的安裝文件即可,安裝后將Fortify.license放置在安全根目錄進行激活,建議操作系統環境不低于8核8G的windows server2018。安裝完成后將2017Q1_EN這個規則包解壓,放置在foritify安裝目錄下的core\config\rule目錄。具體的規則逆向可以參考:https://bbs.huaweicloud.com/blogs/113747
工具使用
以thinkphp項目為例,下載源代碼后保存在本地。
打開foritify的掃描向導下一步即可
點擊執行向導生成的bat腳本,啟動執行掃描。
生成的fpr文件可以使用fortify audit workbench軟件打開查閱結果。
云端試用
??? web服務器版本的foritify稱為Fortify軟件安全中心,發展歷程是從早期foritify360到現在的Fortify Software Security Center(SSC),特點是工作流程的集合和使用機器學習自動驗證安全問題,如果想使用云端的foritify服務則可以使用Fortify on Demand,該鏈接提供15天試用:https://www.microfocus.com/en-us/products/static-code-analysis-sast/overview 使用郵箱注冊激活即可,推薦用https://10minutemail.com/10MinuteMail/index.html 申請一次性郵箱。注意:該SAAS服務需要以zip打包的形式將代碼上傳。以下是dashboard界面
以下是向導界面的一些信息,筆者的使用感受是相比其他靜態分析軟件,其最大的優勢集成了SDLC各周期,可以詳細的選擇應用程序的類型和技術框架。
????該服務支持靜態的代碼掃描和導入URL的執行動態黑盒掃描。也支持導入單機版foritify的fpr格式的報告。由于掃描需要在序列里等待,所以比較慢,大概需要一個小時。
下面是掃描apache-tomcat-9.0.14的結果:
價值
????代碼掃描的價值對于甲方企業是更多快好的發現漏洞,并提出更好的修復建議幫助修復降低漏報暴露的風險、提升所交付軟件的安全屬性。對于乙方在于發現漏洞形成規則,積累到waf、ids。如何將其使用到有產出需要看安全建設的場景,成功的關鍵在于和業務方進行互動,貼合開發流程,如果你面臨每日構建、上千個系統迭代的話,用商業工具自動化可以集成工單、積累數據驅動改進。應用安全團隊在這方面依賴于整體基礎設施的能力,企業的信息安全策略也不會要求實現很多。如果單純考慮攻防視角挖洞的情況來看,商業引擎的優勢其誤報率、漏報率低,比人工節省時間,支持語言種類豐富,可以作為一個十分有用的引擎;劣勢是不能基于專家經驗和發現邏輯問題。筆者的做法是先掃一把,厘清框架結構和判斷整體安全性,分析數據流。定制規則比較難,需要了解控制流和數據流分析進行污點分析。一般是已經發現漏洞,然后摸索著寫規則,拉出來其他產品線的漏報。根據owasp benchmark的報告商業工具誤報率大約為40%,開源工具的誤報是70%,當然白盒如果誤報高,漏報率(1-發現率)肯定低。請讀者們大膽使用工具極致自動化、流程化、智能化吧。
總結
以上是生活随笔為你收集整理的license 验证服务器唯一机器码_代码审计工具Fortify 17.10及Mac平台license版本的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python中tell_Python的F
- 下一篇: python操作json数据_Pytho