fortify扫描C语言,依赖包问题

在使用Fortify扫描C语言项目时，依赖包问题可能导致扫描结果不准确（如误报、漏报），主要涉及依赖库路径未配置、构建信息缺失、版本不兼容等。以下是分步解决方案：

​​一、问题根源分析​​

Fortify扫描C/C++时需解析代码中的外部库调用（如malloc、第三方库函数），若依赖包的头文件（.h）、库文件（.a/.so/.lib）未被正确识别，会导致：

• 无法解析函数声明 → 误报“未定义函数”或“潜在漏洞”；
• 无法关联库版本 → 漏报已知漏洞（如旧版openssl的Heartbleed）。

​​二、具体解决步骤​​

​​1. 确保依赖库文件可访问​​

Fortify需要头文件（解析函数原型）和库文件（静态链接时分析实现，动态链接时验证接口）。

• ​​操作步骤​​：
  • ​​安装依赖库​​：确保所有依赖（如libc、第三方库libcurl）已安装在系统中，或手动拷贝到项目目录（如./deps）。
  • ​​配置路径​​：通过以下方式告知Fortify依赖路径：
    • ​​环境变量​​（临时生效）： export FORTIFY_SCA_INCLUDE_PATH="/path/to/deps/include:/usr/local/include" # 头文件路径 export FORTIFY_SCA_LIB_PATH="/path/to/deps/lib:/usr/local/lib" # 库文件路径
    • ​​配置文件​​（永久生效）：编辑$HOME/.fortify/fortify.properties或项目级fortify.properties： com.fortify.sca.includePaths=/path/to/deps/include,/usr/local/include com.fortify.sca.libPaths=/path/to/deps/lib,/usr/local/lib
    • ​​扫描命令显式指定​​（推荐）： fortify-scan -Dcom.fortify.sca.includePaths="/path/to/deps/include" -Dcom.fortify.sca.libPaths="/path/to/deps/lib" make

​​2. 集成构建系统，捕获编译参数​​

Fortify通过分析编译命令（如gcc -I... -L... -l...）获取依赖细节。若构建系统（Make/CMake）未正确暴露参数，会导致依赖丢失。

• ​​Make项目​​：
  • 使用make VERBOSE=1输出详细编译命令，提取-I（头文件）、-L（库路径）、-l（库名）参数。
  • 让Fortify直接捕获编译过程： fortify-scan make # 自动监控make的编译命令 # 或显式传递参数（更可靠）： fortify-scan gcc -c -I/path/to/include -o file.o file.c
• ​​CMake项目​​：
  • 生成compile_commands.json（记录所有编译命令）： cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON ..
  • 让Fortify解析该文件： fortify-scan --build-id=cmake --compile-commands=compile_commands.json

​​3. 处理第三方库版本不兼容​​

若Fortify知识库（Taxonomy）无当前库版本信息，可能漏报漏洞。

• ​​检查知识库版本​​：
  • 登录Micro Focus支持页面，确认当前Fortify版本是否包含目标库的最新漏洞规则（如libpng 1.6.37的CVE-2020-13810）。
  • 升级Fortify SCA到最新版本（fortify-update）。
• ​​自定义软件包（CSP）​​（无官方知识库时）：
  • 若库是内部开发的，或官方无规则，可创建CSP：
    1. 收集库的头文件（.h）和二进制文件（.a/.so）。
    2. 使用fortify-sca分析库： fortify-sca -b my_library analyze /path/to/library/source # 若有源码 # 或仅分析二进制（无源码时）： fortify-sca -b my_library translate /path/to/library.a
    3. 导入生成的my_library.fpr到Fortify知识库，扫描时自动识别。

​​4. 静态链接与动态链接处理​​

• ​​静态链接​​（库代码嵌入可执行文件）：
  • 确保Fortify能访问静态库文件（.a/.lib），并在扫描时包含其路径（通过FORTIFY_SCA_LIB_PATH）。
  • 示例：静态链接libcurl.a时，Fortify会分析libcurl的源码（若有）或二进制，识别内部漏洞。
• ​​动态链接​​（运行时加载库）：
  • 需提供动态库的头文件（确保接口解析正确）和导入库（.so的.so文件或.dll的.lib）。
  • 扫描后部署时，确保运行环境动态库版本与扫描时一致（避免“扫描通过但运行时存在旧漏洞”）。

​​5. 交叉编译与自定义编译器​​

若项目为嵌入式开发（如ARM）或使用自定义编译器（非GCC），需特殊配置。

• ​​交叉编译​​：
  • 指定目标平台头文件和库路径（而非主机路径）： export FORTIFY_SCA_INCLUDE_PATH="/path/to/arm-includes" export FORTIFY_SCA_LIB_PATH="/path/to/arm-libs"
  • 告知Fortify编译器类型（如arm-none-eabi-gcc）： fortify-scan -Dcom.fortify.sca.compiler=arm-none-eabi-gcc make
• ​​自定义编译器​​：
  • 若编译器有特殊参数（如-mfloat-abi=hard），需确保这些参数被Fortify捕获（通过compile_commands.json或显式传递）。
  • 测试编译器是否被Fortify支持：运行fortify-scan --validate-compiler <compiler-path>。

​​6. 查看日志定位问题​​

扫描日志（默认fortify-scan.log）会记录依赖解析失败的细节（如“无法找到头文件openssl/ssl.h”）。

• ​​关键日志示例​​： [WARNING] Unable to resolve include path for 'openssl/ssl.h'
  • 解决：检查FORTIFY_SCA_INCLUDE_PATH是否包含openssl头文件路径（如/usr/include/openssl）。

​​三、总结​​

Fortify扫描C语言依赖问题的核心是​​确保依赖路径正确配置​​、​​构建信息完整捕获​​、​​库版本与知识库兼容​​。通过集成构建系统、配置路径、处理自定义库，可有效解决大部分依赖相关问题。若仍有异常，优先查看扫描日志定位具体缺失的文件或参数。