Fortify是在代码审计中比较常用的一款静态代码分析工具,在很多行业尤其是金融行业中的普及度非常高,也是软件开发组织、专业的评测机构在创建软件测试体系的过程中大概率会购买的一款安全测试工具。前面的文章中我们为大家介绍了Fortify最新版本的一些新功能以及通过“Audit Workbench”模式进行测试Java语言源代码的操作流程。本文我们继续为大家介绍通过“Scan Wizard”方式和命令行的方式进行测试的操作流程。
通过“Scan Wizard”进行测试
“Scan Wizard”支持Java、Python、C/C++、.Net、Go、PHP、Flex、Action Script、HTML、XML、JavaScript、TypeScript、Kotlin、SQL、ABAP、ColdFusion语言或框架源代码的测试。
(1)打开Scan Wizard
(2)选择Python文件所在目录
(3)确认测试工具自动识别内容
(4)选择库文件
(5)生成脚本文件
(6)完成脚本文件生成
(7)执行生成的脚本文件
通过命令行进行测试
命令行方式支持各语言源代码的测试
(1)Linux项目测试
以Linux下C/C++程序代码测试为例:
①代码编译在代码测试执行前,首先需要进行C/C++程序代码的编译,如下面的示例:gcc -I. -o hello.o -c helloworld.c通过gcc编译器将代码进行编译。
②代码测试在代码编译后,使用sourceanalyzer命令进行代码文件测试。sourceanalyzer -b <build_id> gcc -I. -o hello.o -c helloworld.c
(a)使用Apple “xcode-select command-line tool”设置Xcode path,同时供Fortify使用。
(b)确保项目相关依赖库文件已经包含在项目中。
(c)针对Swift代码,确保所有第三方模块都已经被包含,包括Cocoapods。
(d)如果项目中包含二进制的属性列表文件,需要将它们转化为XML格式,通过Xcode的putil命令进行转换。
(e)针对Objective-C项目,需要保证头文件能够被获取。
(f)针对WatchKit应用,需要同时转化iPhone应用和WatchKit扩展目标。
③ iOS代码测试执行sourceanalyzer -b <build_id> xcodebuild [<compiler_options>]
(2)iOS项目测试
① iOS项目测试条件
(a) iOS项目需要使用non-fragile Objective-C runtime模式(ABI version 2或3)
(b) 使用Apple “xcode-select command-line tool”设置Xcode path,同时供Fortify使用。
(c) 确保项目相关依赖库文件已经包含在项目中。
(d) 针对Swift代码,确保所有第三方模块都已经被包含,包括Cocoapods。
(e) 如果项目中包含二进制的属性列表文件,需要将它们转化为XML格式,通过Xcode的putil命令进行转换。
(f) 针对Objective-C项目,需要保证头文件能够被获取。
(g) 针对WatchKit应用,需要同时转化iPhone应用和WatchKit扩展目标。
② iOS代码测试执行sourceanalyzer -b <build_id> xcodebuild [<compiler_options>]
测试报告生成
通过“Scan Wizard”方式进行测试执行,会生成.fpr测试结果文件,然后通过命令行方式基于测试结果文件生成测试报告文件。
通过“Scan Wizard”方式或命令行方式生成测试结果文件后,可以基于“ReportGenerator”命令生成测试报告。
下面示例中,基于.fpr结果文件生成PDF格式的测试报告。
ReportGenerator -format pdf -f <my_report>.pdf -source <my_results>.fpr<my_report>.pdf为命名的PDF格式测试报告名称,<my_results>.fpr为测试结果文件名称。
以上就是我们为大家介绍的Fortify不同模式下的使用操作流程,欢迎大家交流讨论。如需其他软件测试体系建设相关的内容可私信我交流。