源代码安全分析:工具与实践
1. 安全漏洞报告与构建流程集成
在进行软件安全分析时,若发现安全漏洞,应及时向相关团队报告。例如,对于已讨论过的安全漏洞,需报告给 WU FTPD 团队,且这些漏洞已被修复。
为了分析 WU FTPD,需要在调用编译器时同时调用 Fortify 的源代码分析器,这样就能对项目中的每个源文件进行分析。具体操作是编辑 makefile(若使用 Java 则编辑 Ant 构建脚本),使其包含 “sourceanalyzer” 以及所需的命令行参数。
原始的 makefile 如下:
# # Generic Makefile for autoconf'ed build # CC=gcc CFLAGS=$(WARNINGS) -g -O2 LDFLAGS= YACC=bison -y …修改后的 makefile 为:
# # Generic Makefile for autoconf'ed build # CC=sourceanalyzer -f wuftpd.xml –type fvdl -c gcc CFLAGS=$(WARNINGS) -g -O2 LDFLAGS= YACC=bison -y …在这个例子中,sourceanalyzer 的-f选项用于指定输出文件(wuftpd.xml),-type选项指定将结果格式化为 Fortify
