华东fortify工具-华克斯(商家)

fortify自定义规则

1). 在fortify sca安装的bin目录下找到打开自定义规则编辑器，customruleseditor.cmd，如下图所示：

2). 打开编辑器后，选择file ——>;generate rule，弹出规则向导框。

3). 自定义规则模板可以按照漏洞类型(category)和规则类型（rule type）进行分类，不管是何种方式分类，这些模板大体---为，源代码扫描工具fortify工具，数据污染源tainted规则，数据控制流规则，数据传递规则，以及漏洞缺陷---的sink规则。只要理解了这些规则模板，和开发语言的函数特征，建立规则就简单了。

4) .选择规则包语言，---next，然后填写报名，类名，函数名

5). ---next，源代码审计工具fortify工具，设置sink点

fortify sca 安装

about installing fortify static code ---yzer&applicati0ns

描述了如何安装增强的静态代码分析器和应用程序。需要一个fortify的---文件来完成这个过程。可以使用标准安装向导，也可以静默地执行安装。还可以在非windows系统上执行基于文本的安装。为了获得蕞佳性能，请尽量在扫描的代码驻留的同一本地文件系统上安装fortify静态代码分析器。

注意:在非windows系统上，必须以拥有写权限的主目录的用户身份安装fortify static code ---yzer和应用程序。不要将fortify静态代码分析器和应用程序作为没有主目录的非根用户安装

security content安全包由安全编码规则包和外部元数据组成。安全编码规则包描述了流行语言和公共api的一般安全编码习惯用法。外部元数据包括从fortify类别到可选类别(如cwe、owasp th 10和pci)的映射。.

要升级增强的静态代码分析器和应用程序，请安装新版本并选择从以前的安装迁移设置。这个迁移保存并更新了位于;/core/config目录中的fortify静态代码分析器工件文件。

安装新版本后，源代码检测工具fortify工具，可以卸载以前的版本。有关更多信息，请参见卸载fortify静态代码分析器和应用程序。

注意:可以继续安装以前的版本。如果在同一个系统上安装了多个版本，那么在从命令行运行命令时将调用蕞近安装的版本。扫描来自fortify安全插件的源代码还使用了蕞新安装的fortify静态代码分析器版本。

如果选择不从以前的版本迁移任何设置，fortify建议您保存以下数据的备份。