Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,源代码审计工具fortify采购,就在向导生成的xml基础上进一步更新吧。
Fortify自定义规则
1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器,源代码扫描工具fortify采购,d,如下图所示:
2). 打开编辑器后,选择File ——>Generate Rule,弹出规则向导框。
3). 自定义规则模板可以按照漏洞类型(Category)和规则类型(Rule Type)进行分类,源代码检测工具fortify采购,不管是何种方式分类,这些模板大体上分为,数据污染源tainted规则,华东fortify采购,数据控制流规则,数据传递规则,以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板,和开发语言的函数特征,建立规则就简单了。
4) .选择规则包语言,点击next,然后填写报名,类名,函数名
5). 点击next,设置sink点
Fortify ScanCentral DAST 新增功能
借助下一代动态应用程序安全测试功能,可以使用 ScanCentral 和现有的 Fortify Jenkins 及 Fortify Azure 插件在 CI/CD 流程中启用、扩展和自动化 DAST,从而创建更的 AppSec 方法。ScanCentral DAST 新增功能如下:
使用功能性应用程序安全测试 (FAST)
FAST 以支持 CI/CD 的方式捕获功能测试流量并将其发送到 ScanCentral DAST,进行有针对性的 DAST 扫描。与 IAST 不同,FAST 不受创建测试人员的想法限制。FAST 扫描应用程序,继续查找功能测试未公开的所有内容。
简化 API 扫描
在21.1.0版本中, 集成的ScanCentral DAST 可以简化 API 扫描,使WebInspect 传感器中的新工作流自动检测身份验证请求。
增加 Hacker Level Insights
Hacker Level Insights 是一个新框架,可对应用程序进行安全洞察。21.1.0版本中也包含了对 JavaScript 客户端框架的检测。
配置数据保留策略
在应用程序或扫描级别中配置数据保留策略,允许自动清除陈旧数据,以支持 ScanCentral DAST 数据库维护及高使用环境中的系统性能。
防止应用程序中断
如果正在运行的扫描发生了中断,或强制完成扫描但未启动新扫描时,ScanCentral DAST 将确保不会中断应用程序和扫描过程。
提供基本设置功能
基本设置使 ScanCentral DAST 管理员能够跨所有应用程序或特定应用程序扫描设置模板。管理员可以预先配置扫描模板并将其提供给用户,使用户在不了解安全知识的情况下也能扫描他们的应用程序。
华东fortify采购-华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗,信誉可靠,在江苏 苏州 的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善创新理念和您携手步入辉煌,共创美好未来!
