Fortify

■ XML 리포트 생성방법   test.fpr → test.xml 로 변환할 경우. <Fortify 설치 디렉토리>/bin/reportgenerator -format xml -filterSet "Quick View" -source test.fpr -f test.xml   16.10 버전: (XML포맷을 더 이상 지원안하고 대신 XLS를 지원) BIRTReportGenerator -format XLS -template "Developer Workbook" -filterSet "Security Auditor View" -source test.fpr -output test.xls   ■ XML 리포트에서 취약점 갯수만 뽑아내는 방법 […]

1. scapostinstall 에서 로케일을 ko로 변경해야 한글이 깨지지 않는다.2. 리포트 템플릿은 Auditworkbench에서 생성하고 새 이름으로 저장하면 C:\Users\Administrator\AppData\Local\Fortify\config\AWB-18.10\reports 디렉토리에 저장된다. example)reportgenerator -verbose -template skhynix_report_template.xml -format pdf -filterSet “Quick View” -source test.fpr -f test.pdf

형식) sourceanalyzer -64 -Xmx8G -Dcom.fortify.sca.RmiWorkerMaxHeap=4G -XX:-UseGCOverheadLimit -XX:MaxPermSize=256M -j 3 -logfile [로그파일]  -scan -f [FPR파일] 1) CLI 예제 및 설명  sourceanalyzer -b build_id -64 -Xmx6144M -Dcom.fortify.sca.RmiWorkerMaxHeap=3072M -XX:-UseGCOverheadLimit -XX:MaxPermSize=256M -j 6 -logfile scan.log -scan -f build_id.fpr  위 CLI 예제에 노란색으로 표시된 영역이 Parallel mode 옵션입니다. -j scan 시 사용할 CPU 코어이며, -Dcom.fortify.sca.RmiWorkerMaxHeap는 각 CPU 코어가 사용할 힙

설정 파일 경로 :  Fortify SCA 설치경로\Core\config\fortify-sca.properties 설정 변경 예제 :  소스 파일 확장자가 .biz일 경우, 아래 노란색 표시 부분처럼 변경 후 소스 재분석(예제 fpr 첨부, 참조바람) com.fortify.sca.DefaultFileTypes=java,jsp,jspx,tag,tagx,tld,sql,cfm,php,phtml,ctp,pks,pkh,pkb,xml,config,settings,properties,dll,exe,inc,asp,vbscript,js,ini,bas,cls,vbs,frm,ctl,html,htm,xsd,wsdd,xmi,py,cfml,cfc,abap,xhtml,cpx,xcfg,jsff,as,mxml,cbl,cscfg,csdef,wadcfg,appxmanifest,wsdl,plist,biz # Custom Rules## This property controls what directory is searched to pick up custom rules.  If it is set, the default# (Core/config/customrules) will not be searched #com.fortify.sca.CustomRulesDir=${com.fortify.Core}/config/customrules

■ 관련 오류 메세지: java.lang.OutOfMemoryError: PermGen space   ■ 설치한 패키지: mysql-5.5.28-winx64 jdk-7u9-windows-x64 apache-tomcat-7.0.32   ■ UNIX (catalina.sh):   catalina.sh의 적당한 위치에 아래와 같은 JAVA_OPTS를 추가한다. # for Java 7 JAVAOPTS=”Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms2048m -Xmx16384m -Xss1024k -XX:NewSize=256m -XX:MaxNewSize=512m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:+DisableExplicitGC” # for Java 8 JAVAOPTS=”Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms2048m -Xmx16384m -Xss1024k -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -XX:MaxMetaspaceSize=512m