源代码检测工具fortify规则库-华克斯

fortify编写自定义规则原理

要编写有效的自定义规则，源代码检测工具fortify规则库，就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数，有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言，都有其庞大的开源框架和lib库。所以自定义规则，既要精通安全漏洞原理，源代码检测工具fortify价格表，又要熟练掌握一门或几门开发语言，一般自定义规则用的比较多的语言有java、c/c++、php等。其次必须识别与安全相关的函数，并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系，使用自定义规则编辑器来创建规则就相对简单了。

fortify sca如何使用！

安装fortify之后，打开

界面：

选择扫描

他问要不要更新？ 如果你购买了可以选择yes。

选择之后出现如下界面

浏览意思是：扫描之后保存的结果保存在哪个路径。

然后---下一步。

参数说明：

1、enable clean :把上一次的扫描结果清楚，除非换一个build id，不然中间文件可能对下一次扫描产生影响。

2、enable translation: 转换，把源码代码转换成nst文件

3、64： 是扫描64位的模式，sca默认扫描是32位模式。

4、-xmx4000m:4000m大概是4g，制定内存数-xmx4g ：也可以用g定义这个参数建议加

5、-encoding: 定制编码，重庆源代码检测工具fortify，utf-8比较全，工具解析代码的时候字符集转换的比较好，源代码检测工具fortify一年多少钱，建议加，如果中文注释不加会是乱码。

6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上，不建议加，这样代码显示不全。