Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,河北源代码审计工具fortify,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
Fortify SCA基本功能
3、必须支持以下编程语言,包括ASP.NET,C,C++,C#, Flex/Acti0nScript, Java,
JavaScript/AJAX, JSP, Objective
C,PL/SQL,源代码审计工具fortify采购,PHP,T-SQL,源代码审计工具fortify sca,VB.NET,VBScript,VB6,XML/HTML,Python, ColdFusion,
COBOL, ABAP, Ruby,源代码审计工具fortify版本, Swift, Scala、Go、Kotlin等语言。
4、必须支持工具的IDE集成,如:Visual Studio2019/2017/2015、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse
等开发工具。
5、需支持部署在多种操作系统,即可以安装在所有主流操作系统中,如:Windows、Linux、MacOS等。
6、工具的技术达到水平和地位,在的IT研究咨询机构Gartner的报告中,必须位于魔力象限的象限业界地位(提供证明材料)。
7、工具支持自动检测版本更新,漏洞规则库支持在线定期自动更新,可以在线和离线两种方式进行升级更新。
8、测试、扫描速度快。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。
9、提供灵活的使用分析方式,如IDE集成分析、命令行分析、审计控制台分析等。
Fortify安装使用简易教程
Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规则集进行地匹配、查找。
好安装包后,双击安装应用程序
点击Next进行下一步
接受协议,点击Next
选择安装位置或者默认位置,点击Next
勾选你要安装的插件,点击Next下一步
选择﹨fortify.license,点击下一步
选择更新服务器,这里可以不用填写
华克斯信息-河北源代码审计工具fortify由苏州华克斯信息科技有限公司提供。华克斯信息-河北源代码审计工具fortify是苏州华克斯信息科技有限公司今年新升级推出的,以上图片仅供参考,请您拨打本页面或图片上的联系电话,索取联系人:华克斯。