Fortify SCA 産品使用手冊
1、總體使用流程
(1)打開(kāi) Fortify SCA 23.1 代碼審計引擎
1.1.通過(guò)“Audit Workbench”進(jìn)行測試
“Audit Workbench”支持 Java 語言源代碼的測試。
(1) 在主頁面(miàn)選擇代碼測試語言類型
1)選擇“Scan Java Project”
2)如果是非 Java 語言,選擇“Advanced Scan”
(2)選擇被測試代碼所在目錄
(3)選擇 Java 版本
(4)進(jìn)行代碼測試配置
(5)運行代碼測試
(6)查看代碼測試結果
1.2.通過(guò)“Scan Wizard”進(jìn)行測試
“Scan Wizard”支持 Java、Python、C/C++、.Net、Go、PHP、Flex、Action Script、 HTML、XML、JavaScript、TypeScript、Kotlin、SQL、ABAP、ColdFusion 語言或
框架源代碼的測試。
(1)打開(kāi) Scan Wizard
(2)選擇 Python 文件所在目錄
(3)确認測試工具自動識别内容
(4)選擇庫文件
(5)生成(chéng)腳本文件
(6)完成(chéng)腳本文件生成(chéng)
(7)執行生成(chéng)的腳本文件
1.3.通過(guò)命令行進(jìn)行測試
命令行方式支持各語言源代碼的測試。
1.3.1.Linux 項目測試
以 Linux 下 C/C++程序代碼測試爲例:
1.代碼編譯在代碼測試執行前,首先需要進(jìn)行 C/C++程序代碼的編譯,如下面(miàn)的示例:
gcc -I. -o hello.o -c helloworld.c
通過(guò) gcc 編譯器將(jiāng)代碼進(jìn)行編譯。
2.代碼測試在代碼編譯後(hòu),使用 sourceanalyzer 命令進(jìn)行代碼文件測試。
sourceanalyzer -b gcc -I. -o hello.o -c helloworld.c
(1)使用 Apple “xcode-select command-line tool”設置 Xcode path,同時(shí)供 Fortify 使用。
(2)确保項目相關依賴庫文件已經(jīng)包含在項目中。
(3)針對(duì) Swift 代碼,确保所有第三方模塊都(dōu)已經(jīng)被包含,包括 Cocoapods。
(4)如果項目中包含二進(jìn)制的屬性列表文件,需要將(jiāng)它們轉化爲 XML 格
式,通過(guò) Xcode 的 putil 命令進(jìn)行轉換。
(5)針對(duì) Objective-C 項目,需要保證頭文件能(néng)夠被獲取。
(6)針對(duì) WatchKit 應用,需要同時(shí)轉化 iPhone 應用和 WatchKit 擴展目标。
3. iOS 代碼測試執行
sourceanalyzer -b <build_id>xcodebuild [<compiler_options>]
1.3.2.iOS 項目測試
1. iOS 項目測試條件
(1)iOS 項目需要使用 non-fragile Objective-C runtime 模式(ABI version 2或 3)
(2)使用 Apple “xcode-select command-line tool”設置 Xcode path,同時(shí)供 Fortify 使用。
(3)确保項目相關依賴庫文件已經(jīng)包含在項目中。
(4)針對(duì) Swift 代碼,确保所有第三方模塊都(dōu)已經(jīng)被包含,包括 Cocoapods。
(5)如果項目中包含二進(jìn)制的屬性列表文件,需要將(jiāng)它們轉化爲 XML 格
式,通過(guò) Xcode 的 putil 命令進(jìn)行轉換。
(6)針對(duì) Objective-C 項目,需要保證頭文件能(néng)夠被獲取。
(7)針對(duì) WatchKit 應用,需要同時(shí)轉化 iPhone 應用和 WatchKit 擴展目标。
2. iOS 代碼測試執行
sourceanalyzer -b <build_id>xcodebuild [<compiler_options>]
2.測試報告生成(chéng)
命令行方式支持各語言源代碼的測試
2.1.通過(guò)“Audit Workbench”生成(chéng)測試報告
1.打開(kāi)“Audit Workbench”中的“Tools-Reports”,選擇“Generate BIRT Report” 或者“Generate Legacy Report”。
2.在報告模闆“Report Template”中選擇“Developer Workbook”,點擊“Generate”按鈕,工具會(huì)自動生成(chéng)報告。
2.2.通過(guò)“Scan Wizard”生成(chéng)測試報告
通過(guò)“Scan Wizard”方式進(jìn)行測試執行,會(huì)生成(chéng).fpr 測試結果文件,然後(hòu)通過(guò)命令行方式基于測試結果文件生成(chéng)測試報告文件。
2.3.通過(guò)命令行生成(chéng)測試報告
通過(guò)“Scan Wizard”方式或命令行方式生成(chéng)測試結果文件後(hòu),可以基于
“ReportGenerator”命令生成(chéng)測試報告。
下面(miàn)示例中,基于.fpr 結果文件生成(chéng) PDF 格式的測試報告。
ReportGenerator -format pdf -f <my_report>.pdf -source <my_results>.fpr
<my_report>.pdf 爲命名的 PDF 格式測試報告名稱,<my_results>.fpr 爲測試結果文件名稱。
掃二維碼用手機看
更多資訊