fortify sca快速入门
规则库导入:
所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨core﹨config﹨rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,这些内容将会在以后逐一介绍。
建立和执行扫描任务:
我们分别通过java、.net c#和c/c++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
java项目:
fortify sca对于java项目的支持是做得蕞好的,建立扫描入口的路径选择非常多,常用的方法是直接执行hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨auditworkbench.cmd,启动审计工作台就可以直接对java项目进行静态扫描;另外也可以使用fortify sca插件,集成嵌入eclipse来完成开发过程中的实时扫描;当然,fortify,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,即利用scanwizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理---文件,fortify工具,通过批处理代替手工输入执行命令进行测试。
使用hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨scanwizard.cmd启动scanwizard工具:
fortify sca扫描结果展示
2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描,并经过开发人员或安全人员审计,那么历史的审计信息可以沿用,每个漏洞都有一个编号instance id,已经审计过确认是---的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。
3.利用大数据分析和机器学习做漏洞---屏蔽目前这是正在探索的一个方向,但这个方式需要大量---的漏洞审计样本,如果样本少的话会很难操作。
fortify source code ---ysis engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,fortify操作说明,结构分析引擎,控制流分析引擎,配置分析引擎和特有的x-tier---同的方面查看代码的安全漏洞,fortify铂金,化降低代码安全风险。
fortify secure code rules:fortify(软件安全代码规则集)
采用国际---的安全漏洞规则和众多软件安全的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用,包括美国国土安全(cwe)标准、owasp,pci。。。等。
fortify audit workbench (安全审计工作台)
辅助开发人员、安全审计人员对fortify source code ---ysis engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题---级别。
fortify rules builder(安全规则构建器)
提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。
fortify source code ---ysis suite plug in (fortify sca ide集成开发插件)
fortify-fortify操作说明-华克斯()由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供---的产品和服务。欢迎来电咨询!联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/267599064.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号