进行安全扫描_fortify sca自定义扫描规则
源代码编写
1. 编码规范尽量使用fortify---的安全库函数,fortify工具,如esapi,源代码审计工具fortify工具,使用esapi后fortify sca会把漏洞标记为低危,是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数
2. 使用注解(针对java)如果我们用过sonarqube,我们会发现有两种修改代码的方式来解决---。
注释
在被误判的代码行后面加上注释://nosonar
string name = user.getname(); //nosonar
注解
在类或方法上面加上 @suppresswarnings 注解
fottify全名叫:fortify sca ,源代码审计工具fortify工具,是hp的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,源代码检测工具fortify工具,分析的过程中与它特有的软件安全漏洞规则集进行地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
fortifysca支持的21语言,分别是如下图:
fortify审计界面概述
下图显示了“auditing(审计)”界面中的 webgoat fpr 文件示例。
audit workbench 界面:
audit workbench 界面由以下几个面板组成:
“issues(问题)”面板
“---ysis trace(分析---)”面板
“project summary(项目摘要)”面板
“source code viewer(源代码查看器)”面板
“function(函数)”面板
“issue auditing(问题审计)”面板
“issues(问题)”面板
使用 issues(问题)面板,您可以对希望审计的问题进行分组和选择。该面板由下列元素组成:
“filter set(过滤器组)”下拉列表
“folders(文件夹)”选项卡
group by(分组方式)
“search(搜索)”框
源代码审计工具fortify工具-fortify工具-华克斯由苏州华克斯信息科技有限公司提供。“loadrunner,fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/280238389.html
关键词:
滇公网安备 53011202000392号