华克斯信息-源代码扫描工具fortify

fortify sca规则定义

fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(samples﹨basic﹨php)为例:

我们在缺陷代码基础上增加了validate函数去做安全净化处理，源代码扫描工具fortify扫描，fortify sca不能识别这个函数的作用。

再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数

另外新建规则还可以使用fortify自带的自定义用户规则向导，可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求，源代码扫描工具fortify，就在向导生成的xml基础上进一步更新吧。

fortify “function（函数）”面板：

function（函数）面板显示了项目中的函数/方法列表。使用“function（函数）”面板可找出该函数在源代码中的位置，源代码扫描工具fortify，了解函数是否应用和匹配某个规则，以及编写和验证自定义规则。

“function（函数）”面板具有以下选项：

show（显示）：确定显示在该列表中的函数。

group by（分组方式）：将函数归类到各个包和类中，显示层次结构或直接显示所有函数而不进行分组。

include unused funct（包括未使用的函数）：显示源代码中的每个函数。默认情况下，列表中不会包含未使用的函数。