当您选择某个问题后,Analysis Trace(分析跟踪)面板会显示相关的 trace output。通常情况下,这是一系列进程点,显示了分析器是如何找到该问题的。对于数据流和控制流问题,这一系列点会以执行顺序显示。
例如,如果您选择某个与可能被数据流相关的问题,Analysis Trace(分析跟踪)面板会显示这段源代码中数据流的移动方向。
“Analysis Trace(分析跟踪)”面板使用以下图标来显示本段源代码中数据流的移动方式:
表 1:分析跟踪图标
Fortify “Source Code Viewer(源代码查看器)”面板:
“Source Code Viewer(源代码查看器)”面板显示了与在“Issues(问题)”面板中选择的问题相关联的代码段。如果“Analysis Trace(分析跟踪)”面板中的多个节点代表一个问题,则“Source Code Viewer(源代码查看器)”面板会显示与所选节点相关联的代码。
在“Source Code Viewer(源代码查看器)”面板中,您可以使用代码辅助功能创建自定义规则和新问题,如下所示:
要为某个函数创建规则,请将光标放在该函数中,单击鼠标右键,然后选择 Write Rule for This Function(为此函数编写规则)。
要创建新问题,请将光标放在该函数中,单击鼠标右键,然后选择 Create New Issue(创建新问题)。
Fortify SCA扫描结果展示
2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描,并经过开发人员或安全人员审计,那么历史的审计信息可以沿用,每个漏洞都有一个编号instance ID,已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。
3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向,但这个方式需要大量可靠的漏洞审计样本,如果样本少的话会很难操作。
Fortify SCA基本功能
1、能对软件源代码进行的检测和分析,准确的发现源代码中存在的安全漏洞和质量问题,并提供问题的有效解决建议。帮助开发人员快速的完成漏洞修复及提高应用的安全性。
2、软件能从多维度分析源代码,包括但不限于:
数据流引擎:跟踪, 记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数, 方法的使用的安全问题。
结构引擎:分析程序上下文环境, 结构中的安全问题。
控制流引擎:分析程序特定时间, 状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题
以上信息由专业从事源代码扫描工具fortify 价格的华克斯于2024/7/10 7:07:03发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2783372463.html
下一条:细沙回收机报价服务介绍「多图」