源代码检测工具fortify规则-华克斯

1、导航并查看分析结果

在您打开一个用来查看 Fortify Source Code Analyzer (Fortify SCA) 所检测到的问题的 Audit Workbench 项目之后，您可以在 Summary（摘要）面板中审计这些问题，以反映这些问题的严重级别，以及对该问题执行的安全分析状态。

系统会按审计结果的严重性以及准确性，源代码审计工具fortify规则，对审计结果进行分组，并在默认情况下将问题识别为位于“Issues（问题）”面板中的 Hot（严重）列表内。单击 Warning（警告）和 Info（信息），查看分组在这些列表中的问题。

每个列表中的问题数量显示在相关按钮下面。

要检验与 Issues（问题）面板中所列问题相关的代码，选中该问题。源代码部分包含显示在源代码查看器面板中的问题，并在面板的标题中显示文件所包含问题的名称。

2、审计结果分析

本练习将会引导您浏览一下在练习 3 中使用 Fortify SCA 分析小程序产生的结果。请您检查 Fortify SCA 中各种不同分析器所发现的问题，并比较 Fortify SCA 生成的各种不同输出格式。

请考虑 UserServ.java 的内容：

Fortify扫描漏洞解决方案

Log Forging漏洞

1.数据从一个不可信赖的数据源进入应用程序。 在这种情况下，数据经由getParameter()到后台。

2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要时手动执行，北京fortify规则，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据，源代码检测工具fortify规则，则可能会妨碍或误导日志文件的解读。的情况是，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。如果日志文件是自动处理的，那么攻击者可以破坏文件格式或注入意外的字符，从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式，受到破坏的日志文件可用于掩护攻击者的跟踪轨迹，甚至还可以牵连第三方来执行恶意行为。糟糕的情况是，攻击者可能向日志文件注入代码或者其他命令，利用日志处理实用程序中的漏洞。

新一代 Fortify 发布，抢先部署等你来！

此次更新的软件服务包括：Static Code Analyzer、WebInspect、Software Security Center、Software  Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器（SAST），Fortify WebInspect是动态应用安全测试软件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根据应用需求调整扫描深度，以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%，并在需要时保存深度 SAST 扫描。新增功能如下：

1. 增加3级和4级支持

2. 将中间显影扫描速度提高50%（减少报告问题）

3. 减少 Java 和 C/C++ 等类型语言的扫描时间

4. 4级支持提供完整扫描