进行安全扫描_Fortify Sca自定义扫描规则
源代码编写
1. 编码规范尽量使用fortify认可的安全库函数,如ESAPI,使用ESAPI后fortify sca会把漏洞标记为低危,是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数
2. 使用注解(针对java)如果我们用过SonarQube,我们会发现有两种修改代码的方式来解决误报。
注释
在被误判的代码行后面加上注释://NOSONAR
String name = user.getName(); //NOSONAR
注解
在类或方法上面加上 @SuppressWarnings 注解
Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples\basic\php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
在函数上右键点击弹出write rules for this function,我们接下来通过图形界面创建数据流跟踪的净化规则再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
Fortify SCA扫描结果展示
1.根据漏洞的可能性和严重性进行分类筛选
我们观察fortify扫描的每一条漏洞,会有如下2个标识,严重性(IMPACT)和可能性(LIKEHOOD),这两个标识的取值是从0.1~5.0,我们可以根据自己的需要筛选展示对应严重性和可能性范围的漏洞,这些漏洞必须修复,其他不严重的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是新闻资讯或者体育类应用,那么我们可以把阈值调高,增加漏报率,降低误报率。如果我们的应用是金融理财或交易类应用,那么我们可以把阈值调低,增加误报率,降低漏报率
Fortify是Micro Focus旗下AST (应用程序安全测试)产品,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Centre是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。
Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现安全监测,Fortify具有源代码安全分析,可定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。
以上信息由专业从事源代码审计工具fortify sca的华克斯于2024/6/26 9:47:54发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2776137513.html
上一条:合肥酒吧灯信息推荐「安徽天娱」