新一代 Fortify 发布,抢先部署等你来!
此次更新的软件服务包括:Static Code Analyzer、WebInspect、Software Security Center、Software Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST)。
Fortify SAST 新增功能
SAST Speed Dial
根据应用需求调整扫描深度,源代码检测工具fortify sca,以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%,并在需要时保存深度 SAST 扫描。新增功能如下:
1. 增加3级和4级支持
2. 将中间显影扫描速度提高50%(减少报告问题)
3. 减少 Java 和 C/C++ 等类型语言的扫描时间
4. 4级支持提供完整扫描
Fortify SCA 扫描
Fortify SCA 的结果文件为.FPR文件,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,源代码检测工具fortify代理商,漏洞所在的源代码行,漏洞的详细说明及修复建议等。
1、首先清除上一次扫描的缓存:
sourceanalyzer -b SCG-AuthCenter -clean
2、扫描、编译源码,需要执行依赖的jar包文件和源文件:
sourceanalyzer -encoding UTF-8 -Xmx1024M -b DMC -cp 'D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar' -source 1.6 'D:/code/cct/DMC/src/main/java/**/*.java'
3、生成fpr文件:
4、生成pdf文件:
Fortify自定义规则
1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器,d,如下图所示:
2). 打开编辑器后,源代码检测工具fortify工具,选择File ——>Generate Rule,源代码检测工具fortify,弹出规则向导框。
3). 自定义规则模板可以按照漏洞类型(Category)和规则类型(Rule Type)进行分类,不管是何种方式分类,这些模板大体上分为,数据污染源tainted规则,数据控制流规则,数据传递规则,以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板,和开发语言的函数特征,建立规则就简单了。
4) .选择规则包语言,点击next,然后填写报名,类名,函数名
5). 点击next,设置sink点
苏州华克斯-源代码检测工具fortify sca由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗,信誉可靠,在江苏 苏州 的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善创新理念和您携手步入辉煌,共创美好未来!
