1)安装fortify软件。Linux环境下的fortify软件是个绿色安装包,解压就完成安装;
2)拷贝fortify.license文件到fortify根目录;
3)拷贝*.bin文件到fortify目录下的Core/config/rules目录。.bin文件是fortify静态检查所支持的语言文件;
4)拷贝*.xml到Core/config/reports目录;
5)添加foritify/bin路径到系统的PATH环境变量;
按照以上步骤完成安装后,针对具体项目的静态分析步骤如下:
1)使用不是使用cmake,本步骤可以忽略,否则需要进行操作。使用如下命令重新定义CXX变量:
export CXX="SourceAnalyzer -b xxx c++"
其中,xxx为项目名称。
2)使用make clean命令清除上一次编译结果;
3)使用如下命令编译代码:
Sourceanalyzer -b xxx -debug -Xmx512m touchless make
其中,-Xmx参数指明所使用的内存大小。
为确认该命令是否执行成功,可以使用如下命令进行确认:
Sourceanalyzer -b xxx -show -files
4)使用如下命令进行代码走查:
Sourceanalyzer -b xxx -Xmx512m -debug -scan -f xxx.fpr -disable-source-rendering -Dcom.fortify.sca.FPRDisableMetatable=true
成功 完成代码静态走查后,会后成.fpr结果文件,该文件需要使用配套的另外一款软件来查看结果。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024