fortify自定义规则
1). 在fortify sca安装的bin目录下找到打开自定义规则编辑器,customruleseditor.cmd,如下图所示:
2). 打开编辑器后,选择file ——>;generate rule,弹出规则向导框。
3). 自定义规则模板可以按照漏洞类型(category)和规则类型(rule type)进行分类,不管是何种方式分类,这些模板大体---为,数据污染源tainted规则,数据控制流规则,数据传递规则,以及漏洞缺陷---的sink规则。只要理解了这些规则模板,华南fortify sca价格,和开发语言的函数特征,建立规则就简单了。
4) .选择规则包语言,源代码扫描工具fortify sca价格,---next,然后填写报名,类名,函数名
5). ---next,设置sink点
fortify “---ysis trace(分析---)”面板:
当您选择某个问题后,---ysis trace(分析---)面板会显示相关的 trace output。通常情况下,这是一系列进程点,显示了分析器是如何找到该问题的。对于数据流和控制流问题,这一系列点会以执行顺序显示。
例如,如果您选择某个与可能被数据流相关的问题,---ysis trace(分析---)面板会显示这段源代码中数据流的移动方向。
“---ysis trace(分析---)”面板使用以下图标来显示本段源代码中数据流的移动方式:
表 1:分析---图标
fortify 审计
fortify扫描后生成的fpr文件,就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。
使用fortify audit workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为fortify默认的解析字节码是gbk,源代码审计工具fortify sca价格,可以在选中代码文件后,---edit->;set encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全---确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是---,源代码审计工具fortify sca价格,可以右键风险项,选择hide in awb,即可隐藏---问题。
然后是生成报告,我们可以选择生成两种报告:
birt是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项,是否显示。
legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
华克斯信息-源代码审计工具fortify sca价格由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“loadrunner,fortify,源代码审计,源代码扫描”等业务,公司拥有“loadrunner,fortify,webinspect”等品牌,---于行业软件等行业。,在苏州工业园区新平街388号的名声---。欢迎来电垂询,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/283054988.html
关键词:
滇公网安备 53011202000392号