c/c++源码扫描系列- fortify 篇
环境搭建
linux搭建
解压的压缩包,然后执行 ./fortify_sca_and_apps_19.2.1_linux_x64.run 按照引导完成安装即可,源代码扫描工具fortify版本,安装完成后进入目录执行source---yzer来查看是否安装完成
然后将 rules 和 externalmetadata 拷贝到对应的目录中完成规则的安装。
fortify的工作原理和codeql类似,首先会需要使用fortify对目标源码进行分析提取源代码中的信息,然后使用规则从源码信息中查询出匹配的代码。
进行安全扫描_fortify sca自定义扫描规则
源代码编写
1. 编码规范尽量使用fortify---的安全库函数,如esapi,使用esapi后fortify sca会把漏洞标记为低危,是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数
2. 使用注解(针对java)如果我们用过sonarqube,我们会发现有两种修改代码的方式来解决---。
注释
在被误判的代码行后面加上注释://nosonar
string name = user.getname(); //nosonar
注解
在类或方法上面加上 @suppresswarnings 注解
fortify sca扫描功能分析
1、能够---的输入数据,直到该数据被不安全使用的全过程中,fortify版本,分析数据使用中的安全---。
2、安全漏洞分析需拥有目前业界和的代码漏洞规则库,能够检测的漏洞类型不少于948种。
3、支持检测业界的代码安全漏洞,源代码检测工具fortify版本,工具能够支持检测的漏洞必须依从于的和规范,源代码检测工具fortify版本,如owasp th 10 2017、 pci dss、pci ssf、gdpr、misra、disa、fisma、cwe、sans25等。
4、漏洞扫描规则支持客户自定义,同时需提供友好的图形化的自定义向导和编辑器,自动生成规则---。
苏州华克斯信息-fortify版本由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司拥有---的服务与产品,不断地受到新老用户及业内人士的肯定和---。我们公司是商盟会员,---页面的商盟图标,可以直接与我们人员对话,愿我们今后的合作愉快!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/285459156.html
关键词:
滇公网安备 53011202000392号