fortify-fortify sca安装包-华克斯

fortify sca快速入门

规则库导入：

所有的扫描都是基于规则库进行的，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨core﹨config﹨rules文件夹下，拷贝后便为扫描建立了默认的规则库。另外，fortify总，你也可以自定义规则，这些内容将会在以后逐一介绍。

建立和执行扫描任务：

我们分别通过java、.net c#和c/c++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：

java项目：

fortify sca对于java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，常用的方法是直接执行hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨auditworkbench.cmd，启动审计工作台就可以直接对java项目进行静态扫描；另外也可以使用fortify sca插件，集成嵌入eclipse来完成开发过程中的实时扫描；当然，你也可以使用原生的命令行工具完成全部工作，我们这里介绍一个通用的方法，即利用scanwizard工具导入你的源码项目，通过一系列设置后，fortify sca安装包，会生成一个批处理---文件，通过批处理代替手工输入执行命令进行测试。

使用hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨scanwizard.cmd启动scanwizard工具：

fortify sca扫描结果展示

1.根据漏洞的可能性和---性进行分类筛选

我们观察fortify扫描的每一条漏洞，会有如下2个标识，---性(impact)和可能性(likehood)，这两个标识的取值是从0.1~5.0，我们可以根据自己的需要筛选展示对应---性和可能性范围的漏洞，这些漏洞必须修复，其他不---的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是---或者体育类应用，那么我们可以把阈值调高，fortify，增加漏报率，降低---率。如果我们的应用是金融---或交易类应用，那么我们可以把阈值调低，增加---率，降低漏报率

foritfy sca主要包含的五大分析引擎：

数据流引擎：---，记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

结构引擎：分析程序上下文环境，结构中的安全问题。

控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的---息和配置缺失的安全问题。

特有的x-tier?：跨跃项目的上下层次，贯穿程序来综合分析问题。

fortify-fortify sca安装包-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念，拥有一支高素质的员工队伍，力求提供---的产品和服务回馈社会，并欢迎广大新老客户光临惠顾，真诚合作、共创美好未来。华克斯——您可---的朋友，公司地址：苏州工业园区新平街388号，联系人：华克斯。

     联系我们时请一定说明是在100招商网上看到的此信息，谢谢！
     本文链接：https://tztz192713.zhaoshang100.com/zhaoshang/264077286.html
     关键词： loadrunner - qtp - hp qc/alm - fortifysca - fireeye