fortify扫描后生成的fpr文件,fortify静态白盒软件,就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。
使用fortify audit workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项,左下角可以看到整个数据链路,应用程序安全测试工具,了解数据的传递路径。视图中上位置是代码窗口,fortify,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为fortify默认的解析字节码是gbk,可以在选中代码文件后,---edit->;set encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全---确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是---,可以右键风险项,选择hide in awb,即可隐藏---问题。
然后是生成报告,我们可以选择生成两种报告:
birt是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项,是否显示。
legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
fortify summary摘要:
summary摘要选项卡显示了关于当前所选问题的以下信息:
问题审计面板中的摘要选项卡
下表描述了“summary摘要”面板中的各个选项:
details详细信息:
details详细信息选项卡提供了有关所选问题的详细说明,并提供了用于解决该问题的指导方针。每项说明均包括下表中所述的部分或全部栏目。
recommendat建议
“recommendat建议”选项卡包含有关如何避免引发该漏洞或修改该漏洞方法的建议与示例。
history历史记录
显示完整的审计操作列表,其中包括以下详细信息:日期和时间、执行审计的计算机以及修正该问题的用户名称。
fortify介绍
fortify是一款---的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分---,主要是将代码经过编译,依托于其---的内置规则库来发现漏洞的。其次fortify sca团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强fortify sca的漏洞识别能力,fortify操作培训,同时经过自定义规则,也可以降低---,使静态分析的准确度和性。
默认情况下,fortify sca使用安装的安全编码规则包来检查源代码,并定义一系列可能出现的问题,如可者李勇的安全漏洞和---的编码缺陷。
安全编码规则中的规则分析受支持语言的和扩展的api包中的函数,并将分析结果记录在fortify sca中。每一个问题的解释包含了对问题的描述和建议的解决方案,一边---的解决程序中的漏洞和缺陷。也可以通过创建自定义规则包来准确地分析特定的应用程序,验证专门的安全规则以及细化fortify sca所报告的问题。
|
登录后台
