fortify工具-华克斯-fortify

fortify 审计

fortify扫描后生成的fpr文件，就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。

使用fortify audit workbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项，左下角可以看到整个数据链路，了解数据的传递路径。视图中上位置是代码窗口，fortify静态白盒软件，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，往往是因为fortify默认的解析字节码是gbk，fortify工具，可以在选中代码文件后，---edit->;set encoding...选项，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全---确定问题，识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中，如果发现问题是---，可以右键风险项，选择hide in awb，即可隐藏---问题。

然后是生成报告，我们可以选择生成两种报告：

birt是统计报告，fortify，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项，是否显示。

legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，可以提供给业务确认风险。

fortify自定义规则

1). 在fortify sca安装的bin目录下找到打开自定义规则编辑器，customruleseditor.cmd，如下图所示：

2). 打开编辑器后，选择file ——>;generate rule，弹出规则向导框。

3). 自定义规则模板可以按照漏洞类型(category)和规则类型（rule type）进行分类，不管是何种方式分类，这些模板大体---为，数据污染源tainted规则，数据控制流规则，数据传递规则，以及漏洞缺陷---的sink规则。只要理解了这些规则模板，和开发语言的函数特征，建立规则就简单了。

4) .选择规则包语言，---next，然后填写报名，类名，函数名

5). ---next，设置sink点