进行安全扫描_Fortify Sca自定义扫描规则
前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况,而不必为所有这些假想情况经过必要的计算来执行这些代码。
那么代码安全扫描工具到底应该怎么使用?以下是参考fortify sca的作者给出的使用场景:
Fortify内存注意事项
默认情况下,源代码扫描工具fortify总代理,Fortify SCA 蕞多可使用 600 MB 的内存。如果该内存仍不能满足分析某个特定代码库的需要,您可能需要在扫描阶段提供更多的内存。这可以通过在 sourceanalyzer 命令中使用 -Xmx 选项来实现。
例如,要让 Fortify SCA 可用的内存达到 1000 MB ,源代码扫描工具fortify代理商,可在命令中包含 -Xmx1000M 选项。
注意:为 Fortify SCA 分配的内存不应高于计算机本身的可用内存,因为这样会降低性能。指导原则是在没有运行其他内存密集型程序的情况下,分配的内存不能超过 2/3 的可用物理内存。
一、 Fortify SCA概述
1、Source Code Analysis 阶段概述
Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段:
转换:使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。
扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。
校验:确保所有源文件均包含在扫描过程中,使用的是正确的规则包,且没有报告重大错误。
2、安全编码规则包概述
安全编码规则包是 Fortify Software 安全研究小组多年软件安全经验的体现,并且经过其不断努力改进而成。这些规则是通过对编码理论和常用编码实践的研究,而取得的软件安全知识的巨大积累,源代码审计工具fortify工具,并且在 Fortify Software 安全研究小组的努力下不断扩展和改进。每个安全编码规则包均包含大量的规则,每个规则定义了一个被 source code analysis 检测出的特定异常行为。
一旦检测出安全问题,安全编码规则包会提供有关问题的信息,让开发人员能够计划并实施修复工作,这样比研究问题的安全细节更为有效。这些信息包括关于问题类别的具体信息、该问题会如何者利用,fortify,以及开发人员如何确保代码不受此漏洞的威胁。
安全编码规则包支持多种编程语言,也支持各种经过扩展的第三方库和配置文件。
有关当前安全编码规则包的信息,请参见《安全编码规则包参考》。
源代码审计工具fortify工具-fortify-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供更好的产品和服务。欢迎来电咨询!联系人:华克斯。