Fortify自定义规则
1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器,d,如下图所示:
2). 打开编辑器后,选择File ——>Generate Rule,弹出规则向导框。
3). 自定义规则模板可以按照漏洞类型(Category)和规则类型(Rule Type)进行分类,不管是何种方式分类,这些模板大体上分为,数据污染源tainted规则,数据控制流规则,数据传递规则,以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板,和开发语言的函数特征,建立规则就简单了。
4) .选择规则包语言,点击next,然后填写报名,类名,函数名
5). 点击next,设置sink点
Fortify Source Code Analysis Engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier从不同的方面查看代码的安全漏洞,化降低代码安全风险。
Fortify Secure Code rules:Fortify(软件安全代码规则集)
采用国际公认的安全漏洞规则和众多软件安全的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用,包括美国国土安全(CWE)标准、OWASP,PCI。。。等。
Fortify Audit Workbench (安全审计工作台)
辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。
Fortify Rules Builder(安全规则构建器)
提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。
Fortify Source Code Analysis Suite plug in (Fortify SCA IDE集成开发插件)
Fortify SCA基本功能
3、必须支持以下编程语言,包括,C,C++,C#, Flex/Acti0nScript, Java,
JavaScript/AJAX, JSP, Objective
C,PL/SQL,PHP,T-SQL,VB.NET,VBScript,VB6,XML/HTML,Python, ColdFusion,
COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等语言。
4、必须支持工具的IDE集成,如:Visual Studio2019/2017/2015、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse
等开发工具。
5、需支持部署在多种操作系统,即可以安装在所有主流操作系统中,如:Windows、Linux、MacOS等。
6、工具的技术达到水平和地位,在的IT研究咨询机构Gartner的报告中,必须位于魔力象限的象限业界地位(提供证明材料)。
7、工具支持自动检测版本更新,漏洞规则库支持在线定期自动更新,可以在线和离线两种方式进行升级更新。
8、测试、扫描速度快。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。
9、提供灵活的使用分析方式,如IDE集成分析、命令行分析、审计控制台分析等。
以上信息由专业从事源代码审计工具fortify总代理的华克斯于2024/7/2 5:45:58发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2779078212.html