Fortify是在代码审计中比较常用的一款静态代码分析工具,在很多行业尤其是金融行业中的普及度非常高,也是软件开发组织、专业的评测机构在创建软件测试体系的过程中大概率会购买的一款安全测试工具。前面的文章中我们为大家介绍了Fortify最新版本的一些新功能以及通过“Audit Workbench”模式进行测试Java语言源代码的操作流程。本文我们继续为大家介绍通过“Scan Wizard”方式和命令行的方式进行测试的操作流程。
通过“Scan Wizard”进行测试
(2)选择Python文件所在目录
通过命令行进行测试
一、Linux项目测试
以Linux下C/C++程序代码测试为例:
1. 代码编译
在代码测试执行前,首先需要进行C/C++程序代码的编译,如下面的示例:
gcc -I. -o hello.o -c helloworld.c
通过gcc编译器将代码进行编译。
2. 代码测试
在代码编译后,使用sourceanalyzer命令进行代码文件测试。
sourceanalyzer -b <build_id> gcc -I. -o hello.o -c helloworld.c
3. 代码扫描结果文件生成
在代码测试后,使用sourceanalyzer命令进行代码文件扫描及结果文件生成。
sourceanalyzer -b <build_id> -scan -f hello.fpr
其中,本命令中的<build_id>与第2步命令中的<build_id>相同。成功生成结果文件后,可以基于该结果文件生成测试报告。
4. 代码扫描结果文件生成
二、iOS项目测试
(1) iOS项目需要使用non-fragile Objective-C runtime模式(ABI version 2或3)
(2) 使用Apple “xcode-select command-line tool”设置Xcode path,同时供Fortify使用。
(3) 确保项目相关依赖库文件已经包含在项目中。
(4) 针对Swift代码,确保所有第三方模块都已经被包含,包括Cocoapods。
(5) 如果项目中包含二进制的属性列表文件,需要将它们转化为XML格式,通过Xcode的putil命令进行转换。
(6) 针对Objective-C项目,需要保证头文件能够被获取。
(7) 针对WatchKit应用,需要同时转化iPhone应用和WatchKit扩展目标。
2. iOS代码测试执行
sourceanalyzer -b <build_id> xcodebuild [<compiler_options>]
测试报告生成
通过“Scan Wizard”生成测试报告
通过命令行生成测试报告
下面示例中,基于.fpr结果文件生成PDF格式的测试报告。
ReportGenerator -format pdf -f <my_report>.pdf -source <my_results>.fpr
<my_report>.pdf为命名的PDF格式测试报告名称,<my_results>.fpr为测试结果文件名称。
以上就是我们为大家介绍的Fortify不同模式下的使用操作流程,欢迎大家交流讨论。如需其他软件测试体系建设相关的内容可私信我交流。
今天的文章 代码测试工具Fortify介绍及实操演示(下)分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ji-chu/104542.html