Fortify SCA覆盖规则

以下演示覆盖一个秘钥硬编码的规则：

还是以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例

由于没有加密机和密码托管平台，数据库密码只能明文写在代码或配置文件里，怎么不让fortify重复报出这种问题呢？

写一条新规则覆盖这个id的规则，如下xml：

随便一个不会用到的保存秘钥的变量名pasword，源代码审计工具fortify价格，覆盖了这条规则

Fortify 审计

Fortify扫描后生成的fpr文件，就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。

使用Fortify Audit Workbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项，左下角可以看到整个数据链路，源代码审计工具fortify价格，了解数据的传递路径。视图中上位置是代码窗口，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，源代码检测工具fortify价格，往往是因为Fortify默认的解析字节码是GBK，可以在选中代码文件后，点击Edit->Set Encoding...选项，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全工程师确定问题，识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中，如果发现问题是误报，可以右键风险项，选择Hide in AWB，即可隐藏误报问题。

然后是生成报告，我们可以选择生成两种报告：

BIRT是统计报告，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项，是否显示。

Legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，可以提供给业务确认风险。

Fortify内存注意事项

默认情况下，Fortify SCA 蕞多可使用 600 MB 的内存。如果该内存仍不能满足分析某个特定代码库的需要，您可能需要在扫描阶段提供更多的内存。这可以通过在 sourceanalyzer 命令中使用 -Xmx 选项来实现。

例如，fortify价格，要让 Fortify SCA 可用的内存达到 1000 MB ，可在命令中包含 -Xmx1000M 选项。

注意：为 Fortify SCA 分配的内存不应高于计算机本身的可用内存，因为这样会降低性能。指导原则是在没有运行其他内存密集型程序的情况下，分配的内存不能超过 2/3 的可用物理内存。

苏州华克斯信息-fortify价格由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展，目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证，标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展，共创美好未来。