fortify source code ---ysis engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的x-tier---同的方面查看代码的安全漏洞,化降低代码安全风险。
fortify secure code rules:fortify(软件安全代码规则集)
采用国际---的安全漏洞规则和众多软件安全的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用,源代码检测工具fortify规则库,包括美国国土安全(cwe)标准、owasp,pci。。。等。
fortify audit workbench (安全审计工作台)
辅助开发人员、安全审计人员对fortify source code ---ysis engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题---级别。
fortify rules builder(安全规则构建器)
提供自定义软件安全代码规则功能,江西fortify规则库,满足特定项目环境和企业软件安全的需要。
fortify source code ---ysis suite plug in (fortify sca ide集成开发插件)
fortify sca使用
2.1安装完成后桌面没有快捷方式的话,---左下角windows图片输入 au,---运行即可。
注意事项
2.2如果打开后出现弹窗---按钮后出现错误提示的话
2.3 替换安装目录的---文件后重新打开软件即可
需要注意的是目录为安装目录,不是压缩包解压目录
2.4 选择java项目或者自动识别项目类型,这里以自动识别项目类型举例,---后选中代码目录。
2.5 选择完目录后运行可能会提示是否更新规则包,---是。
2.6 规则更新完成后会弹出配置本次扫描的弹窗
无特殊配置的话一路next蕞后---扫描,等待扫描完成。
2.7 导出扫描报告
扫描完成后即可查看扫描出的问题,---tools ->;reports ->; 即可生成pdf报告
fortify 审计
fortify扫描后生成的fpr文件,就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。
使用fortify audit workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,源代码审计工具fortify规则库,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为fortify默认的解析字节码是gbk,可以在选中代码文件后,---edit->;set encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全---确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是---,可以右键风险项,选择hide in awb,即可隐藏---问题。
然后是生成报告,我们可以选择生成两种报告:
birt是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项,是否显示。
legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
华克斯-江西fortify规则库由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“loadrunner,fortify,源代码审计,源代码扫描”等业务,公司拥有“loadrunner,fortify,webinspect”等品牌,---于行业软件等行业。,在苏州工业园区新平街388号的名声---。欢迎来电垂询,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/281479374.html
关键词:
滇公网安备 53011202000392号