Fortify SCA v25.3.0 安装使用小记

📅 2026/7/5 15:42:32
Fortify SCA v25.3.0 安装使用小记
1、Fortify SCA 简介Fortify 读音/ˈfɔːtɪfaɪ/SCA全称为 Fortify Static Code Analyzer是一款静态代码分析工具可以帮助开发人员在软件开发过程中发现和修复安全漏洞。通过对源代码进行深度扫描Fortify SCA 可以准确地识别出各种类型的安全隐患如 SQL 注入、跨站脚本等漏洞。同时它也提供了强大的报告和审计功能使得开发团队可以有效地管理和跟踪安全问题。这款软件广泛应用于各种规模的软件开发项目中被业界公认为静态代码分析领域的领导者。Fortify原理首先通过调用语言的编译器或者解释器把前端的语言代码如JAVAC/C源代码转换成一种中间媒体文件NSTNormal Syntax Tree将其源代码之间的调用关系执行环境上下文等分析清楚。通过分析不同类型问题的静态分析引擎分析NST文件同时匹配所有规则库中的漏洞特征将漏洞抓取出来然后形成包含详细漏洞信息的FPR结果文件用AWB打开查看。支持语言FortifySCA支持的21语言分别是1、asp.net2、VB.Net3、c#.Net4、ASP5、VBscript6、VS67、java8、JSP9、javascript10、HTML11、XML12、C/C13、PHP14、T-SQL15、PL/SQL16、Action script17、Object-C(iphone-2012/5)18、ColdFusion5.0 - 选购19、python -选购20、COBOL - 选购21、SAP-ABAP -选购2、下载选择对应文件下载Windows SCA: https://pwn3rzs.co/source_code_analysis/fortifySCA/win/OpenText_SAST_Fortify_Windows_25.3.0.zip Tools: https://pwn3rzs.co/source_code_analysis/fortifySCA/win/Fortify_Tools_25.2.0_Windows.zip Linux SCA: https://pwn3rzs.co/source_code_analysis/fortifySCA/lin/OpenText_SAST_Fortify_linux-x64_25.3.0.7z Tools: https://pwn3rzs.co/source_code_analysis/fortifySCA/lin/OpenText_Application_Security_Tools_linux-x64_25.2.0.7z Mac x64 SCA: https://pwn3rzs.co/source_code_analysis/fortifySCA/osx/OpenText_SAST_Fortify_Mac_25.3.0.tar.gz Tools: https://pwn3rzs.co/source_code_analysis/fortifySCA/osx/Fortify_Tools_25.2.0_Mac.tar.gz Mac ARM SCA: https://pwn3rzs.co/source_code_analysis/fortifySCA/osx/OpenText_SAST_Fortify_Mac-ARM_25.3.0.tar.gz Tools: https://pwn3rzs.co/source_code_analysis/fortifySCA/osx/Fortify_Tools_25.2.0_Mac-ARM.tar.gz下面的两个是都要下载的Crack, LicenseREADME file: https://pwn3rzs.co/source_code_analysis/fortifySCA/Fortify_SCA_25.2_Crack_pwn3rzs_cyberarsenal.7z Rules: https://pwn3rzs.co/source_code_analysis/fortifySCA/Fortify-Rules-2025.3.0.0007.7z如果不习惯英文则可以选择中文的规则库版本较低FortifyRules_zh_CH_2023.1.1.0001(离线规则库)3、安装过程安装过程参考这篇文章https://0xf4n9x.github.io/fortify-sca-v232-installation.html新版有点出入但是问题不大25.3.0 的规则库没有 ExternalMetadata 把所有规则放到 ruler 文件夹下即可。我这里使用的是老版本的中文规则库。4、使用运行C:\Program Files\Fortify\OpenText_Application_Security_Tools_25.2.0\bin目录中的auditworkbench.cmd或者直接搜索Audit Workbench即可开启图形化界面。打开后界面如下如果是 java 项目可以直接点击“Scan Java Project”选项。java version可以选择 web应用的 java 代码的所在环境的 java 版本这里我们选择1.8如果扫描对象是Java web代码就选择“Yes”如果不是Java web就选择No其它的选项保持默认即可。点击“Scan”Fortify就开始对代码进行代码审计了。审计结束发现对于 webgoat 源代码 Fortify 只扫描出了36个高危漏洞为啥最基本的 sql 注入漏洞没扫描出来呢重新理一下思路Fortify 扫描源代码漏洞前是需要对源码编译的没有 jar 包有些类肯定是编译不成功的。接下来打开 pom.xml 查看 web 应用需要依赖哪些 jar 包将所有需要 jar 包放到 webgoat 目录下即可Fortify会自动识别和加载.jar文件。如果 web 应用所依赖的 jar 包太多手工找起来太麻烦可以直接解压编译后的.war文件或者 springboot 的.jar文件获取所有 jar 包文件。重新运行 fortify 扫描一下加载 jar 包后扫描出了103个高危漏洞这样的扫描结果看起来还算是正常。查看扫描结果详细信息Fortify的Diagram功能非常强大以图表形式展示源代码中漏洞触发点的从开始到触发的所有过程我们可以借助此功能分析是否有过滤函数对漏洞触发的特殊字符进行了过滤。点击“Group By”按钮可以以不同漏洞分类标准对漏洞进行不同的分类展示。如果遇到误报可以选择“Hide in AWB”对该漏洞结果进行隐藏。导出报告这个功能不常用只是作为参考一般都是自己写代码审计报告。