进行安全扫描_Fortify Sca自定义扫描规则

源代码编写

1. 编码规范尽量使用fortify认可的安全库函数，如ESAPI，使用ESAPI后fortify sca会把漏洞标记为低危，是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数

2. 使用注解(针对java)如果我们用过SonarQube，我们会发现有两种修改代码的方式来解决误报。

注释

在被误判的代码行后面加上注释：//NOSONAR

String name = user.getName(); //NOSONAR

注解

在类或方法上面加上 @SuppressWarnings 注解

Fortify扫描漏洞解决方案

Log Forging漏洞

1.数据从一个不可信赖的数据源进入应用程序。 在这种情况下，数据经由getParameter()到后台。

2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试，上海fortify哪里有卖，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要时手动执行，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据，则可能会妨碍或误导日志文件的解读。的情况是，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。如果日志文件是自动处理的，那么攻击者可以破坏文件格式或注入意外的字符，源代码检测工具fortify哪里有卖，从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式，受到破坏的日志文件可用于掩护攻击者的跟踪轨迹，甚至还可以牵连第三方来执行恶意行为。糟糕的情况是，攻击者可能向日志文件注入代码或者其他命令，利用日志处理实用程序中的漏洞。

代码质量利器：Fortify SCA使用指南

静态代码分析器SCA（Static Code Analyzer）：包含多种语言的安全相关的规则，而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所，同时还可以定制安全规则。

在使用上SCA主要按照如下步骤进行：

步骤1: 单独运行SCA或者将SCA与构建工具进行集成

步骤2: 将代码转换为临时的中间格式

步骤3: 对转换的中间格式的代码进行扫描，源代码检测工具fortify哪里有卖，生成安全合规性的报告

步骤4: 对结果进行审计，一般通过使用Fortify Audit Workbench打开FPR（Fortify Project Results）文件或者将结果上传至SSC（Fortify Software Security Center）来进行分析，从而直接看到蕞终的结果信息

上海fortify哪里有卖-华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念，拥有一支高素质的员工队伍，力求提供更好的产品和服务回馈社会，并欢迎广大新老客户光临惠顾，真诚合作、共创美好未来。华克斯——您可信赖的朋友，公司地址：苏州工业园区新平街388号，联系人：华克斯。