Fortify SCA扫描功能分析
1、能够跟踪的输入数据,源代码检测工具fortify规则,直到该数据被不安全使用的全过程中,分析数据使用中的安全隐患。
2、安全漏洞分析需拥有目前业界和的代码漏洞规则库,能够检测的漏洞类型不少于948种。
3、支持检测业界的代码安全漏洞,工具能够支持检测的漏洞必须依从于的和规范,如OWASP Th 10 2017、 PCI DSS、PCI SSF、GDPR、MISRA、DISA、FISMA、CWE、SANS25等。
4、漏洞扫描规则支持客户自定义,同时需提供友好的图形化的自定义向导和编辑器,自动生成规则脚本。
Fortify SCA如何使用!
安装fortify之后,打开
界面:
选择扫描
他问要不要更新? 如果你购买了可以选择YES。
选择之后出现如下界面
浏览意思是:扫描之后保存的结果保存在哪个路径。
然后点击下一步。
参数说明:
1、enable clean :把上一次的扫描结果清楚,源代码扫描工具fortify规则,除非换一个build ID,fortify规则,不然中间文件可能对下一次扫描产生影响。
2、enable translation: 转换,把源码代码转换成nst文件
3、64: 是扫描64位的模式,sca默认扫描是32位模式。
4、-Xmx4000m:4000M大概是4G,制定内存数-Xmx4G :也可以用G定义这个参数建议加
5、-encoding: 定制编码,UTF-8比较全,工具解析代码的时候字符集转换的比较好,建议加,如果中文注释不加会是乱码。
6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上,不建议加,这样代码显示不全。
Fortify 静态代码分析器(SCA)利用多种算法和扩展的安全编码规则知识库,分析应用程序的源代码,及时发现可修复的漏洞。
为更好处理代码,Fortify SCA 的工作方式与编译器存在相似性——读取并将源代码文件转换为增强的中间结构,以快速执行安全分析。分析引擎由多个专门的分析程序组成,基于安全编码规则分析代码库是否违反了安全编码实践。除此外,Fortify SCA 还提供规则构建器以扩展静态分析,源代码扫描工具fortify规则,并包含自定义规则,用户根据受众和任务特性,灵活查看分析结果。
源代码检测工具fortify规则-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业软件中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!