华北源代码审计工具fortify-苏州华克斯信息

fortify自定义规则

1). 在fortify sca安装的bin目录下找到打开自定义规则编辑器，customruleseditor.cmd，如下图所示：

2). 打开编辑器后，选择file ——>;generate rule，弹出规则向导框。

3). 自定义规则模板可以按照漏洞类型(category)和规则类型（rule type）进行分类，不管是何种方式分类，这些模板大体---为，数据污染源tainted规则，数据控制流规则，数据传递规则，以及漏洞缺陷---的sink规则。只要理解了这些规则模板，和开发语言的函数特征，建立规则就简单了。

4) .选择规则包语言，---next，源代码审计工具fortify报告中文插件，然后填写报名，类名，函数名

5). ---next，设置sink点

fortify sca产品特性：

1．从多方面分析软件源代码，查找软件安全漏洞，是目前采用分析技术的，检查代码安全问题，其检查方式分别为：数据流、控制流、语义、配置流和代码结构

2．是目前能跨越软件不同层次和不同语言边界的静态分析技术，能安全漏洞引入的过程。

3．安全代码规则面，安全漏洞检查。目前包括150多种类别的安全漏洞，其安全代码规则多达50000多条。规则内容涉及asp.net， c/c++， c#， coldfusion，java， jsp， pl/sql， t-sql， xml，vb.net&other .net等多种语言

4．支持多种国际软件安全的标准：owasp、payment card industry (pci) compliance、federal informati0n security management act（fisma）common weakness enumeration（cwe）….。

5. 支持混合语言的分析，包括 asp.net， c/c++， c#， java?， jsp， pl/sql，华北源代码审计工具fortify，t-sql， vb.net， xml&other .net languages. fortify sca 支持 windows， solaris， linux， aix，and mac os ….等多种操作系统

6. 支持自定义软件安全代码规则。

7．集成软件开发环境（microsoft visual studio，源代码审计工具fortify采购， ibm rad，&eclipse.）和自动产品构建过程。

8． 基于web接口，能对企业多个项目进行集中的安全统计、分析和管理