Fortify SCA从命令行生成分析报告

【概要描述】

分类：新闻资讯
作者：苏州华克斯信息科技有限公司
来源：苏州华克斯信息科技有限公司
发布时间：2023-11-16
访问量：0

详情

Fortify SCA从命令行生成分析报告

Fortify的命令行功能强大，在实际工作中，常常用到命令行进行扫描和生成报告。

您可以使用两个命令行工具生成分析报告：

BIRTReportGenerator - 从基于商业智能和报告技术（BIRT）系统的 FPR 文件生成问题报告。

注意： 要在运行 OpenJDK 的 Linux 系统上生成 BIRT 报告，必须安装 fontconfig、DejaVu Sans 字体和 DejaVu Serif 字体。

ReportGenerator - 从 FPR 文件生成旧报告。您可以指定报告模板或使用默认报告模板。

生成问题报告

使用BIRTReportGenerator命令行工具生成基于BIRT系统的问题报告。生成问题报告的基本命令行语法为：

BIRTReportGenerator -template <template_name> -source <audited_proj>.fpr -format <format> -output <report_file_name>

以下是如何生成包含其他选项的 OWASP Top 10 2021 报告的示例：

BIRTReportGenerator -template "owasp top 10" -source auditedProj.fpr -format pdf -ShowSuppressed --Version "owasp top 10 2021" --UseFortifyPriorityOrder -output MyOWASP_Top10_Report.pdf

BIRTReportGenerator 命令行选项

下表描述了 BIRTReportGenerator 选项。

BIRTReportGenerator 选项	描述
-template <template_name>	（必填）指定报告模板名称。<template_name>的有效值为"CWE Top 25"、"CWE/SANS Top 25"、"Developer Workbook"、"DISA CCI 2"、"DISA STIG"、"FISMA Compliance"、GDPR、MISRA、"OWASP ASVS 4.0"、"OWASP Mobile Top 10"、"OWASP Top 10"、"PCI DSS Compliance"、"PCI SSF Compliance" 注意：仅当<template_name>中存在空格时，才需要将报告模板名称括在引号中。模板名称值不区分大小写。
-source <audited_proj>.fpr	（必填）指定报告所基于的已审核项目。
-format pdf\| \|dochtml	（必填）指定生成的报告格式。注意：格式值不区分大小写。
-output <report_file.*>	（必填）指定将报表写入到的文件。注意：如果指定已存在的文件，则将覆盖该文件。
-searchQuery <query>	指定用于在生成报告之前筛选问题的搜索查询。例如： -searchQuery audited:false
-ShowSuppressed	包括标记为禁止显示的问题。
-ShowRemoved	包括标记为已删除的问题。
-ShowHidden	包括标记为隐藏的问题。
-filterSet <filterset_name>	指定用于生成报告的筛选器集（例如， -filterSet "Quick View"）
--Version <version>	指定模板的版本。下面列出了模板版本的有效值。模板版本值不区分大小写。注意：此处未列出的模板只有一个版本可用。如果未指定版本，并且有多个版本可用，则 BIRTReportGenerator 会根据创建 FPR 时使用的外部元数据使用最新版本。 · 对于“CWE Top 25”模板，版本为"CWE Top 25 <year>"（例如，"CWE Top 25 2022") · 对于“CWE/SANS Top 25”模板，版本为"<year> CWE/SANS Top 25"（例如，"2011 CWE/SANS Top 25") · 对于“DISA STIG”模板，版本为"DISA STIG <version>"（例如，"DISA STIG 5.2") · 对于“FISMA 合规性”模板，版本为"NIST 800-53 Rev <version>"（例如，"NIST 800-53 Rev 5") · 对于 MISRA 模板，可用版本为"MISRA C 2012"或"MISRA C++ 2008" · 对于“OWASP Top 10”模板，版本为"OWASP Top 10 <year>"（例如，"OWASP Top 10 2021") · 对于“PCI DSS 合规性”模板，版本为"PCI <version>"（例如，"PCI 4.0") 注意：对于低于 3.2.1 的版本，版本为（例如，"<version> Compliance""3.2 Compliance") · 对于“PCI SSF 合规性”模板，版本为"PCI SSF <version>"（例如，"PCI SSF 1.2")
--IncludeDescOfKeyTerminology	在报告中包括“关键术语说明”部分。
--IncludeAboutFortify	在报告中包括“关于 Fortify 解决方案”部分。
--SecurityIssueDetails	提供报告问题的详细说明。此选项不适用于“开发人员工作簿”模板。
--UseFortifyPriorityOrder	使用 Fortify 优先级顺序而不是文件夹名称对问题进行分类。此选项不适用于“开发人员工作簿”和“PCI 合规性”模板。
-h\|-help	显示有关选项的详细信息。
-debug	显示有助于解决 BIRTReportGenerator 问题的调试信息。

BIRTReportGenerator疑难解答

有时，在生成报表时可能会遇到内存不足错误。您可能会在命令行输出中看到类似于以下内容的消息：

java.lang.OutOfMemoryError: GC overhead limit exceeded

要增加为 BIRTReportGenerator 分配的内存，请将该选项添加到 BIRTReportGenerator 命令中。在以下示例中，将 32 GB 分配给 BIRTReportGenerator 以运行报表：-Xmx

BIRTReportGenerator -template "DISA STIG" -source myproject.fpr -format PDF -output myproject_report.pdf -Xmx32G

生成旧版分析报告

使用 ReportGenerator 命令行工具生成旧版报告。旧版报告包括用户可配置的报告模板。生成旧版分析报告的基本命令行语法是：

ReportGenerator -source <audited_proj>.fpr -format <format> -f <report_file_name>

以下是如何使用 Fortify 扫描摘要模板和其他选项生成 PDF 报告的示例：

ReportGenerator -source auditedProj.fpr -format pdf -template ScanReport.xml -showSuppressed -user Alex -f MyFortifyReport.pdf

ReportGenerator命令行选项

下表描述了 ReportGenerator选项。

ReportGenerator 选项	描述
-source <audited_proj>.fpr	（必填）指定报告所基于的已审核项目。
-format pdf\|xml	（必填）指定生成的报告格式。
-f <report_file.*>	（必填）指定将报表写入到的文件。注意：如果指定已存在的文件，则文件被覆盖。
-template <template_name>	指定报告模板。如果未指定，ReportGenerator 将使用默认模板。默认模板位于<tools_install_dir>/Core/config/reports/DefaultReportDefinition.xml中。注意：如果<template_name>包含任何空格，请将其括在引号中。
-user <username>	指定要添加到报表中的用户名。
-showSuppressed	包括标记为禁止显示的问题。
-showRemoved	包括标记为已删除的问题。
-showHidden	包括标记为隐藏的问题。
-filterSet <filterset_name>	指定用于生成报告的筛选器集（例如， -filterset "Quick View"）。
-verbose	向控制台显示状态消息。
-debug	显示有助于解决 ReportGenerator 问题的调试信息。
-h	显示有关选项的详细信息。