1
您现在的位置:
首页
/
/
Fortify SCA从命令行生成分析报告

Fortify SCA从命令行生成分析报告

  • 分类:新闻资讯
  • 作者:苏州华克斯信息科技有限公司
  • 来源:苏州华克斯信息科技有限公司
  • 发布时间:2023-11-16
  • 访问量:0

【概要描述】

Fortify SCA从命令行生成分析报告

【概要描述】

  • 分类:新闻资讯
  • 作者:苏州华克斯信息科技有限公司
  • 来源:苏州华克斯信息科技有限公司
  • 发布时间:2023-11-16
  • 访问量:0
详情

Fortify SCA从命令行生成分析报告

Fortify的命令行功能强大,在实际工作中,常常用到命令行进行扫描和生成报告。

您可以使用两个命令行工具生成分析报告:

BIRTReportGenerator - 从基于商业智能和报告技术(BIRT)系统的 FPR 文件生成问题报告。

注意: 要在运行 OpenJDK  Linux 系统上生成 BIRT 报告,必须安装 fontconfigDejaVu Sans 字体和 DejaVu Serif 字体。

ReportGenerator - 从 FPR 文件生成旧报告。您可以指定报告模板或使用默认报告模板。

生成问题报告

使用BIRTReportGenerator命令行工具生成基于BIRT系统的问题报告。生成问题报告的基本命令行语法为:

BIRTReportGenerator -template <template_name> -source <audited_proj>.fpr -format <format> -output <report_file_name>

以下是如何生成包含其他选项的 OWASP Top 10 2021 报告的示例:

BIRTReportGenerator -template "owasp top 10" -source auditedProj.fpr -format pdf -ShowSuppressed --Version "owasp top 10 2021" --UseFortifyPriorityOrder -output MyOWASP_Top10_Report.pdf

BIRTReportGenerator 命令行选项

下表描述了 BIRTReportGenerator 选项。

BIRTReportGenerator 选项

描述

-template <template_name>

(必填)指定报告模板名称。<template_name>的有效值为"CWE Top 25""CWE/SANS  Top 25""Developer Workbook""DISA  CCI 2""DISA STIG""FISMA Compliance"GDPRMISRA"OWASP ASVS 4.0""OWASP Mobile Top 10""OWASP Top 10""PCI DSS Compliance""PCI SSF Compliance"

注意: 仅当<template_name>中存在空格时,才需要将报告模板名称括在引号中。模板名称值区分大小写。

-source <audited_proj>.fpr

(必填)指定报告所基于的已审核项目。

-format pdf| |dochtml

(必填)指定生成的报告格式。

注意: 格式值区分大小写。

-output <report_file.***>

(必填)指定将报表写入到的文件。

注意: 如果指定已存在的文件,则将覆盖该文件。

-searchQuery <query>

指定用于在生成报告之前筛选问题的搜索查询。例如:

-searchQuery  audited:false

-ShowSuppressed

包括标记为禁止显示的问题。

-ShowRemoved

包括标记为已删除的问题。

-ShowHidden

包括标记为隐藏的问题。

-filterSet <filterset_name>

指定用于生成报告的筛选器集(例如, -filterSet "Quick View"

--Version <version>

指定模板的版本。下面列出了模板版本的有效值。模板版本值不区分大小写。

注意: 此处未列出的模板只有一个版本可用。

如果未指定版本,并且有多个版本可用,则 BIRTReportGenerator 会根据创建 FPR 时使用的外部元数据使用最新版本。

·  对于“CWE Top 25”模板,版本为"CWE Top 25 <year>"(例如,"CWE Top 25 2022")

·  对于“CWE/SANS Top 25”模板,版本为"<year> CWE/SANS Top  25"(例如,"2011 CWE/SANS Top 25")

·  对于“DISA STIG”模板,版本为"DISA STIG <version>"(例如,"DISA STIG 5.2")

·  对于“FISMA 合规性模板,版本为"NIST  800-53 Rev <version>"(例如,"NIST  800-53 Rev 5")

·  对于 MISRA 模板,可用版本为"MISRA C 2012""MISRA C++ 2008"

·  对于“OWASP Top 10”模板,版本为"OWASP Top 10 <year>"(例如,"OWASP Top 10 2021")

·  对于“PCI DSS 合规性模板,版本为"PCI <version>"(例如,"PCI 4.0")

注意: 对于低于 3.2.1 的版本,版本为(例如,"<version> Compliance""3.2  Compliance")

·  对于“PCI SSF 合规性模板,版本为"PCI SSF <version>"(例如,"PCI SSF 1.2")

--IncludeDescOfKeyTerminology

在报告中包括关键术语说明部分。

--IncludeAboutFortify

在报告中包括关于 Fortify 解决方案部分。

--SecurityIssueDetails

提供报告问题的详细说明。此选项不适用于开发人员工作簿模板。

--UseFortifyPriorityOrder

使用 Fortify 优先级顺序而不是文件夹名称对问题进行分类。此选项不适用于开发人员工作簿“PCI 合规性模板。

-h|-help

显示有关选项的详细信息。

-debug

显示有助于解决 BIRTReportGenerator 问题的调试信息。

BIRTReportGenerator疑难解答

有时,在生成报表时可能会遇到内存不足错误。您可能会在命令行输出中看到类似于以下内容的消息:

java.lang.OutOfMemoryError: GC overhead limit exceeded

要增加为 BIRTReportGenerator 分配的内存,请将该选项添加到 BIRTReportGenerator 命令中。在以下示例中,将 32 GB 分配给 BIRTReportGenerator 以运行报表:-Xmx

 

BIRTReportGenerator -template "DISA STIG" -source myproject.fpr -format PDF -output myproject_report.pdf -Xmx32G

生成旧版分析报告

使用 ReportGenerator 命令行工具生成旧版报告。旧版报告包括用户可配置的报告模板。生成旧版分析报告的基本命令行语法是:

 

ReportGenerator -source <audited_proj>.fpr -format <format> -f <report_file_name>

以下是如何使用 Fortify 扫描摘要模板和其他选项生成 PDF 报告的示例:

 

ReportGenerator -source auditedProj.fpr -format pdf -template ScanReport.xml -showSuppressed -user Alex -f MyFortifyReport.pdf

ReportGenerator命令行选项

下表描述了 ReportGenerator选项。

ReportGenerator 选项

描述

-source <audited_proj>.fpr

(必填)指定报告所基于的已审核项目。

-format pdf|xml

(必填)指定生成的报告格式。

-f <report_file.***>

(必填)指定将报表写入到的文件。

注意:如果指定已存在的文件,则文件被覆盖。

-template <template_name>

指定报告模板。如果未指定,ReportGenerator 将使用默认模板。默认模板位于<tools_install_dir>/Core/config/reports/DefaultReportDefinition.xml中。

注意:如果<template_name>包含任何空格,请将其括在引号中。

-user <username>

指定要添加到报表中的用户名。

-showSuppressed

包括标记为禁止显示的问题。

-showRemoved

包括标记为已删除的问题。

-showHidden

包括标记为隐藏的问题。

-filterSet <filterset_name>

指定用于生成报告的筛选器集(例如, -filterset "Quick View")。

-verbose

向控制台显示状态消息。

-debug

显示有助于解决 ReportGenerator 问题的调试信息。

-h

显示有关选项的详细信息。

 

 

扫二维码用手机看

更多资讯

联系我们

联系我们

发布时间:2020-09-16 13:55:16
地址:苏州市工业园区新平街388号
          腾飞创新园塔楼A617
电话:400-028-4008
          0512-62382981

关注我们

这是描述信息

页面版权所有 -  苏州华克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.