fortify sca快速入门
规则库导入:
所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨core﹨config﹨rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,这些内容将会在以后逐一介绍。
建立和执行扫描任务:
我们分别通过java、.net c#和c/c++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
java项目:
fortify sca对于java项目的支持是做得蕞好的,建立扫描入口的路径选择非常多,常用的方法是直接执行hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨auditworkbench.cmd,启动审计工作台就可以直接对java项目进行静态扫描;另外也可以使用fortify sca插件,集成嵌入eclipse来完成开发过程中的实时扫描;当然,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,源代码检测工具fortify采购,即利用scanwizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理---文件,通过批处理代替手工输入执行命令进行测试。
使用hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨scanwizard.cmd启动scanwizard工具:
fortify sca扫描结果展示
1.根据漏洞的可能性和---性进行分类筛选
我们观察fortify扫描的每一条漏洞,会有如下2个标识,---性(impact)和可能性(likehood),源代码检测工具fortify工具,这两个标识的取值是从0.1~5.0,我们可以根据自己的需要筛选展示对应---性和可能性范围的漏洞,这些漏洞必须修复,其他不---的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是---或者体育类应用,那么我们可以把阈值调高,增加漏报率,源代码审计工具fortify规则库,降低---率。如果我们的应用是金融---或交易类应用,那么我们可以把阈值调低,fortify,增加---率,降低漏报率
fortify sca规则定义
fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(samples﹨basic﹨php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
fortify-华克斯-源代码审计工具fortify规则库由苏州华克斯信息科技有限公司提供。“loadrunner,fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/283595946.html
关键词:
滇公网安备 53011202000392号