fortify 审计
fortify扫描后生成的fpr文件,就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。
使用fortify audit workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,fortify,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为fortify默认的解析字节码是gbk,可以在选中代码文件后,---edit->;set encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全---确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是---,可以右键风险项,选择hide in awb,即可隐藏---问题。
然后是生成报告,fortify扫描,我们可以选择生成两种报告:
birt是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项,是否显示。
legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
fortify “---ysis trace(分析---)”面板:
当您选择某个问题后,---ysis trace(分析---)面板会显示相关的 trace output。通常情况下,这是一系列进程点,显示了分析器是如何找到该问题的。对于数据流和控制流问题,这一系列点会以执行顺序显示。
例如,如果您选择某个与可能被数据流相关的问题,---ysis trace(分析---)面板会显示这段源代码中数据流的移动方向。
“---ysis trace(分析---)”面板使用以下图标来显示本段源代码中数据流的移动方式:
表 1:分析---图标
fortify扫描android项目
使用插件扫描是一个比较的方式,因为操作简单,fortify中文资料,且环境---不需要重新配置。
首先肯定是获取插件,我们需要从安装fortify开始。如果已经安装了也不要紧,直接---安装到原有目录即可,fortify会自动适配的。安装步骤基本都使用默认选项,但是在选择组件的环节,我们要记得勾选上我们需要的插件。
上图中红框是给android studio使用的插件,是本小节需要使用到的。第二个红框则是一个visual studio的插件,后面会用到,这里可以先勾选一下(但要记得visual studio的插件只能在visual studio已存在时安装,版本也不要选错)。安装后,可以在fortify安装目录下的plugins﹨intellij---ysis目录中找到我们需要的插件。
然后是第二步,将插件安装到android studio上。在android studio中打开插件的界面,选择设置的图标,然后选择install plugin from disk...选项,选中前面说到的插件文件。然后重启android studio即可生效。
生效后我们可以在android studio的栏中找到fortify选项,在fortify->;---ysis settings...选项中,我们可以配置该插件扫描源码的规则和配置。
蕞后,我们---fortify->;---yze project选项,即可扫描项目并在项目的根目录生成fpr文件
华克斯(图)-fortify扫描-fortify由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供---的产品和服务。欢迎来电咨询!联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/266939799.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号