SCA分析代码漏洞

hyddd 原创 转载请说明 上次介绍了用 FindBugs 辅助分析代码漏洞 这次换了一个工具 Fortify SCA Demo 4 0 0 Fortify 是一个在安全方面挺出名的公司 这里就不多说了 先介绍一下主角 Fortify SCA Demo 4 0 0 虽然现在不知道 Fortify SCA 的版本是多少 但可以肯定的是 Fortify SCA Demo 4 0 0 是一个比较旧的 Fortify SCA 分析器了 并且还是 Demo 版的 所 以无论是界面还是功能上都是比较简陋的 由于 Fortify SCA 不是开源的工具 这里就不提 供下载了 大家可以上 Fortify 主页申请 这次演示的是用 Fortify SCA 静态分析 Java 代码 和 FindBugs 不同的是 Fortify SCA 还可以静态分析 C C NET 和 PL SQL 等代码 一 Fortify SCA 静态分析原理 由于我不是写这个东东的人 并且接触这个工具时间也有限 所以对它的工作原理认 知比较浅 很多是通过它的说明文档得来的 Fortify SCA 静态分析分两个阶段 1 Translation 把各种语言的源代码转为一种统一的中间语言代码 2 Analysis 根据中间代码分析代码漏洞 并得出报告 Fortify 有很多个语言转换器 但核心的静态分析引擎只有一套 二 Fortify SCA 的使用 先看看 Fortify SCA Demo 4 0 0 的目录 这个是 Fortify SCA Demo 4 0 0 的目录 这里主要有两个文件 auditworkbench cmd 和 sourceanalyzer exe auditworkbench cmd 是查看静态分析报告的工具 sourceanalyzer exe 是 静态代码分析器 这里我们还看到了一个 FindBugs 的目录 这是因为这个版本的 Fortify 集成了此功能 你可以通过传参给 sourceanalyzer exe 调用 FindBugs 但我一般不这么做 可以直接使用 FindBugs 的话 为什么还要通过 sourceanalyzer exe 调呢 开始扫描静态分析 首先 CMD 进入 Java 源代码目录 然后 H Fortify sourceanalyzer exe classpath jar f test fpr 在当前目录得到结果报告 test fpr 用 auditworkbench 打开 test fpr 效果如下图 这里 auditworkbench 主要分 4 部分 1 左上 Issues 是警告分类 这里 Fortify 分了 3 了 严重程度由高至低分别是 hot warning info 下面是本次扫描的问题列表 双击即可定位问题代码 2 右上 源代码 双击问题列表即可自动定位代码 3 左下 analysis trace 问题处的 Trace 信息 告诉你问题出现在哪里文件第几行 4 右下 details 问题的详细说明 还有示范代码 OK 现在看看其他地方 比如 menubar Options Show View Other 你会看到下图 这里我看到了一个很像 eclipse 管理插件的窗口 噢 难道 OK 让我看看再找找 Fortify 的目录看看 找到了这个东西 这里发现 Fortify SCA 真的是一个 Eclipse 插件 不过当我兴冲冲地把这个插件放进 myeclipse 插件库并重启后 发现这个不能识别 好像还是差了点东西 这个以后研究 这个工具还有很多功能 但暂且先写这多 三 Fortify SCA Demo 4 0 0 与 FindBugs 1 3 7 20081230 对比 今天试着对同一份代码进行静态扫描 发现 FindBugs 找到的问题种类 数量都比 Fortify SCA Demo 4 0 0 多很多 FindBugs 发现问题种类有 20 多种 Fortify SCA Demo 4 0 0 发现问题种类 5 种 在分析发现问题后 发现了一个有趣现象 Fortify SCA Demo 4 0 0 和 FindBugs 发现 的 BUG 类型是完全不同 可以说是互补的 其中 FindBugs 发现的问题相对比较重要 但 FindBugs 只是针对 Java 代码的静态分析器 而 Fortify SCA 则支持更多的语言 并且 Fortify SCA 对发现问题的解释相对比较清晰 导致这个问题的原因可能是 Fortify SCA Demo 4 0 0 这个版本比较老 并且是试用版 规则库和静态分析引擎都不全 如果是最新的 Fortify SCA 商业版 应该是不错 8 个分 析不同类型问题的静态分析引擎 庞大的规则库 可是俺这种穷人还没机会试 四 Fortify SCA 的 Bug 类型及解释说明 虽然 Fortify SCA 对问题已经有比较清晰的说明 但是还是决定自己总结 这样会更加 清晰 相关问题解释说明稍后补上 Hot Warning Structural Erroneous String Compare Structural System Information Leak HTML Comment in JSP Semantic System Information Leak Data Flow System Information Leak Data Flow Denial of Servie Control Flow Null Dereference Control Flow Unreleased Resource Control Flow Missing Check for Null Parmater Info Structural Poor Logging Practice User of a System Output Stream Structural Poor Error Handing Empty Catch Block Structural Poor Error Handing Overly Broad Catch Structural Poor Error Handing Overly Broad Throws Structural J2EE Bad Practices Leftover Debug Code