fortify sast 新增语言支持
提供27种以上的主要语言及其框架的准确支持和敏捷更新。之后将添加更多新的语言版本,从---上改进、简化工作方式。以下语言更新已添加到 fortify static 代码分析器:
.net
增加对 .net 5.0、c# 9、asp.net blazor 语言和框架的支持。
msbuild support update
增加对16.8和16.9版本的支持。
go
增加对1.15和1.16版本的支持;增加对 goproxy 环境变量的支持。
java
更新 jsp 翻译以减少---;改进字节码分析。
javasc ript
增加对 typesc ript 4.1及angular 10、11语言和框架的支持。
kotlin
增加对 kotlin 1.4.20版本的支持。
php
增加对 php 7.2、7.3、7.4及8.0版本的支持。
python
增加对python 3.9、django 3.1语言和框架的支持。
swift/obj-c
增加对 xcode 12.4版本的支持。
operating systems (linux)
增加对以下 linux 服务器的支持:1. suse linux enterprise server 15
2. red hat enterprise linux 8.2
3. centos linux 7.6-1810&8.2-2004
4. ubuntu 20.04.1 lts
micro focus visual cobol (technology preview)
增加对 micro focus visual cobol 6.0.版本的支持。
c/c++ (technology preview)
使用新的基于 clang 的翻译改进对 c++11 结构的支持。





fortify扫描qt项目
fortify对于c++类型的代码扫描需要结合编译指令实现,源代码检测工具fortify工具,但fortify支持的c++指令并不多,所以有些类似使用qt工具开发的项目就需要做一定调整来适配foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦,因为需要对于qt的qmake工具运行逻辑有一定深入分析,熟知其生成的makefile以来的环境和make工具,难度较大,所以更建议以visual studio的fortify插件为入口,西南fortify工具,先将qt项目转成visual studio项目,再使用插件扫描,这样就会容易很多。
我们简单介绍一---程:
1、在visual studio中安装qt visual studio tools插件和fortify插件。
2、在qt插件的qt opt选项中配置编译套件,该套件位置可以在qt对应版本下面,比如qt﹨qt5.12.8﹨5.12.8﹨msvc2017。
3、使用qt插件的open qt project file (.pro)...打开对应的qt项目,并使用插件的convert custom build steps to qt/msbuild选项,将项目转成vs项目,并生成对应的.vcsproj文件。
测试能成功运行后,就可以使用fortify进行扫描了。步骤类似与上面的android项目,即可生成对应的fpr文件。另外,如果想要使用命令来自动化的进行项目扫描,但不知道一个类型的项目如何进行适配,源代码审计工具fortify工具,可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.java.command属性内容,里面包含了该项目生成扫描中间文件的指令参数,可以参考了解如何配置自动化的扫描平台。
fortify sca覆盖规则
以下演示覆盖一个秘钥硬编码的规则:
还是以fortify安装目录下自带的php示例代码(samples﹨basic﹨php)为例
由于没有加密机和密码托管平台,数据库密码只能明文写在代码或配置文件里,源代码审计工具fortify工具,怎么不让fortify重复报出这种问题呢?
写一条新规则覆盖这个id的规则,如下xml:
---一个不会用到的保存秘钥的变量名pasword,覆盖了这条规则
源代码审计工具fortify工具-华克斯由苏州华克斯信息科技有限公司提供。“loadrunner,fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/281602508.html
关键词: