fortify自定义规则
1). 在fortify sca安装的bin目录下找到打开自定义规则编辑器,customruleseditor.cmd,如下图所示:
2). 打开编辑器后,选择file ——>;generate rule,弹出规则向导框。
3). 自定义规则模板可以按照漏洞类型(category)和规则类型rule type进行分类,不管是何种方式分类,这些模板大体-为,数据污染源tainted规则,数据控制流规则,数据传递规则,fortify,以及漏洞缺陷-的sink规则。只要理解了这些规则模板,fortify版本更新,和开发语言的函数特征,建立规则就简单了。
4) .选择规则包语言,-next,然后填写报名,类名,fortify中国铂金代理,函数名
5). -next,设置sink点
fortify sca基本功能
1、能对软件源代码进行的检测和分析,fortify sca软件,准确的发现源代码中存在的安全漏洞和问题,并提供问题的有效解决建议。帮助开发人员快速的完成漏洞修复及提高应用的安全性。
2、软件能从-度分析源代码,包括但不限于:
数据流引擎:-, 记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数, 方法的使用的安全问题。
结构引擎:分析程序上下文环境, 结构中的安全问题。
控制流引擎:分析程序特定时间, 状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的-息和配置缺失的安全问题
fottify全名叫:fortify sca ,是hp的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
fortifysca支持的21语言,分别是如下图:
|
登录后台
