�����進(jin)行(xing)安全(quan)掃(sao)描_Fortify Sca自定義掃(sao)描規則(ze)
源代碼編寫
1. 編碼(ma)規范(fan)盡(jin)量(liang)使用(yong)fortify認可的����安(an)全(quan)庫函數,如ESAPI,使用(yong)ESAPI后fortify sca會(hui)把漏洞標記為(wei)低危�����,源代碼(ma)審(shen)計工(gong)具fortify規則庫,是可以忽略的漏洞類型。以下是對常見漏洞的安(an)全(quan)庫函數
2. 使用注解(jie)(針對(dui)java)如(ru)果我們(men)用過(guo)Son��������arQube,我們(men)會(hui)發現有兩種修改代(dai)碼的方式來解(jie)決誤報。
注釋
在(zai)被誤判的代碼行后面加(jia)上注釋://NOSONAR
String name = user.getName(); //NOSONAR
注解
在類或方法上(shang)面加上(shang) @SuppressWarnings 注解
Fortify SAST 新增語(yu)言支持(chi)
提供27種(zhong)以上的主要語言及其框(kuang)架的準確支(zhi)持和敏(min)捷更(geng)(geng)新(xin)。之后(hou)將添加更(geng)(geng)多新(xin)的語言版本(ben),從根本(�������ben)上改進(jin)、簡化(hua)工作方式。以下語言更(geng)(geng)新(xin)已添加到 Fortify Static 代(dai)碼分析(��������xi)器:
.NET
增加對 .NET 5.0、C# 9、 Blazor 語言和框架的(de)支持。
MSBuild Support Update
增加對16.8和16.9版(ban)本的(de)支(zhi)持。
Go
增加對1.15和1.16版本(ben)的支持(chi);增������加對 GOPROXY 環境變量的支持(chi)。
Java
更新 JSP 翻譯以減(jian)少誤報;改進字節碼(ma)分析。
JavaScript
增加對 TypeScript 4.1及Angular 10、11語(yu)言和框架的(de)支(zhi)������������持。
Kotlin
增加對 Kotlin 1.4.20版本(ben)的支持(chi)。
PHP
增加對 PHP 7.2、7.3、7.4及8.0版本的支持。
Python
增加對Python 3.9、Django 3.1語言和框架的支持。
Swift/Obj-C
增加(jia)對 Xcode 12.4版本的支持。
Operating Systems (Linux)
增加對以下 Linux 服務器的(de)支持:1. SUSE Linux Enterprise Ser����ver 1������5
2. Red Hat Enterprise Linux 8.2
3. CentOS Linux 7.6-1810 and 8.2-2004
4. Ubuntu 20.04.1 LTS
Micro Focus Visual COBOL (Technology Preview)
增加對 Micro Focus Visual COBOL 6.0.版本的支持。
C/C++ (Technology Preview)
使用新的基于 Clang 的翻譯(yi)改(gai)進對 C++11 結構(gou)的支持。
Fortify SCA快(kuai)速入門
規則庫導入:
所有的掃(sao)(sao)描(miao)都是(shi)基于規(gui)則(ze)(ze)庫進行(xing)的,因此,源代碼掃(sao)(sao)描(miao)工具fortify規(gui)則(ze)(ze)庫,建(jian)立掃(s���ao)(sao)描(miao)任務的前提條(tiao)件就(jiu)是(shi)你(ni)需要把(ba)檢查(cha)������規(gui)則(ze)(ze)拷貝(bei)到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夾下,拷貝(bei)后(hou)便為掃(sao)(sao)描(miao)建(jian)立了默認的規(gui)則(ze)(ze)庫。另外(wai),你(ni)也可以(yi)自定義(yi)規(gui)則(ze)(ze),fortify規(gui)則(ze)(ze)庫,這些內(nei)容(rong)將會(hui)在以(yi)后(hou)逐一介紹。
建立和(he)執(zhi)行(xing)掃描任(ren)務(wu):
我們分(fen)別(bie)通(tong)過(guo)Java��������、.Net C#和C/C++三類不同(tong)編程語(yu)言項目來(lai)介(jie)紹如何(he)快速(s�����u)建立(li)和執行掃(sao)描(miao)任務(wu):
Java項目:
Fortify SCA對于Java項目(mu)的(de)(de)支持(chi)是做得蕞好的(de)(de),建立掃描(miao)入(ru)口的(de)(de)路�������徑(jing)選擇非常多,常用的(de)(de)方法是直接執行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨d,啟動審計(ji)工(gong)作臺就可(ke)以直接對Java項目(mu)進行靜態掃描(miao);另外也可(ke)以使(shi)用Fortify SCA插件(jian),源(yuan)代碼(ma)審計(ji)工(gong)具(ju)fortify規則庫,集成(cheng)嵌入(ru)Eclipse來完成(cheng)開發過程(cheng)中的(de)(de)實時掃描(miao);當然,你也可(ke)以使(shi)用原生的(de)(de)命令行工(gong)具(ju)完成(cheng)全部工(gong)作,我們這里介紹一個通用的(de)(de)方法,即(ji)利用ScanWizard工(gong)具(ju)導(��������dao)入(ru)你的(de)(de)源(yuan)碼(ma)項目(mu),通過一系列設置后,會生成(cheng)一個批處(chu)理(li)(li)腳本文件(jian),通過批處(chu)理(li)(li)代替手工(gong)輸入(ru)執行命令進行測試。
使用HP_Fort������ify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨d啟(qi)動ScanWizard工(gong)具:
fortify規則庫-蘇州華克斯公司由蘇州華克斯信息科技有限公司提供。“Loadrunner,Fortify,源代碼審計,源代碼掃描”選擇蘇州華克斯信息科技有限公司,公司位于:蘇州工業園區新平街388號,多年來,華克斯堅持為客戶提供好的服務,聯系人:華克斯。歡迎廣大新老客戶來電,來函,親臨指導,洽談業務。華克斯期待成為您的長期合作伙伴!
咨詢電話:13862561363
第9年
