Fortify自定义规则
1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器,CustomRulesEditor.cmd,如下图所示:
2). 打开编辑器后,选择File ——>Generate Rule,弹出规则向导框。
3). 自定义规则模板可以按照漏洞类型(Category)和规则类型(Rule Type)进行分类,不管是何种方式分类,这些模板大体上分为,数据污染源tainted规则,数据控制流规则,新疆fortify报告中文插件,数据传递规则,以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板,源代码扫描工具fortify报告中文插件,和开发语言的函数特征,源代码扫描工具fortify报告中文插件,建立规则就简单了。
4) .选择规则包语言,点击next,然后填写报名,类名,源代码检测工具fortify报告中文插件,函数名
5). 点击next,设置sink点
C/C++源码扫描系列- Fortify 篇
环境搭建
本文的分析方式是在 Linux 上对源码进行编译、扫描,然后在 Windows 平台对扫描结果进行分析,所以涉及 Windows 和 Linux 两个平台的环境搭建。
Windows搭建
首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装
安装完成后,把 fortify-common-20.1.1.0007.jar 拷贝 Core﹨lib 进行,然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core﹨config﹨rules 的路径下,该路径下保存的是Fortify的默认规则库。
ExternalMetadata 下的文件也拷贝到 Core﹨config﹨ExternalMetadata 目录即可
执行 auditworkbench.cmd 即可进入分析源码扫描结果的IDE.
Fortify “Issue Auditing(问题审计)”面板:
“Issue Auditing(问题审计)”面板在以下一组选项卡中提供了有关各问题的详细信息:
Summary(摘要)
Details(详细信息)
Recommendat(建议)
History(历史记录)
Diagram(图示)
Filter(过滤器)
注意:使用选项)- Show View(显示视图)菜单可显示或隐藏“Issue Auditing(问题审计)”面板中的选项卡。
苏州华克斯信息-源代码扫描工具fortify报告中文插件由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供更好的产品和服务。欢迎来电咨询!联系人:华克斯。