Foritfy SCA主要包含的五大分析引擎:
数据流引擎:跟踪,源代码检测工具fortify哪里有卖,记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境,fortify,结构中的安全问题。
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
特有的X-Tier?:跨跃项目的上下层次,贯穿程序来综合分析问题。
Fortify “Issue Auditing(问题审计)”面板:
“Issue Auditing(问题审计)”面板在以下一组选项卡中提供了有关各问题的详细信息:
Summary(摘要)
Details(详细信息)
Recommendat(建议)
History(历史记录)
Diagram(图示)
Filter(过滤器)
注意:使用选项)- Show View(显示视图)菜单可显示或隐藏“Issue Auditing(问题审计)”面板中的选项卡。
Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,源代码扫描工具fortify sca,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
源代码审计工具fortify规则-fortify-华克斯由苏州华克斯信息科技有限公司提供。行路致远,砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴,更矢志成为行业软件具有竞争力的企业,与您一起飞跃,共同成功!