Fortify DAST 更新功能
支持 HTTP/2
现代应用程序已开始利用 HTTP/2 来提高速度,并提供更的客户端/服务器通信来改善用户体验。WebInspect 现在可支持使用 HTTP/2 技术的应用程序。
更新引擎6.0版本
Fortify 增强引擎以提高扫描覆盖范围和性能。WebInspect 21.1.0 有着更快的爬取和审计能力,并且提供部署了 Macro Engine 6.0的 Web Macro Recorder 的应用程序支持。
屏蔽 TruClient 参数
部署了 Macro Engine 6.0的 Web Macro Recorder 能够屏蔽密码等参数,将它们隐藏起来。
简化用户代理选择
TruClient macros 和扫描设置现在可支持扫描配置期间的用户代理选择。
显示扫描信息
警报级别的扫描日志消息能够提供运行中的扫描质量和性能信息。
更新 OpenSSL 技术
OpenSSL 技术预览在 WebInspect 中默认 SSL/TLS 配置。此集成可支持 TLS 1.3,并为被系统管理员限制 Microsoft SCHANNEL 的客户提供选项。
简化 API 扫描
与集成的 WebInspect 可简化 API 扫描,使传感器中的新工作流自动检测身份验证请求。
Fortify扫描Android项目
使用插件扫描是一个比较推荐的方式,因为操作简单,且环境可靠不需要重新配置。
首先肯定是获取插件,我们需要从安装Fortify开始。如果已经安装了也不要紧,直接点击安装到原有目录即可,Fortify会自动适配的。安装步骤基本都使用默认选项,但是在选择组件的环节,我们要记得勾选上我们需要的插件。
上图中红框是给Android Studio使用的插件,是本小节需要使用到的。第二个红框则是一个Visual Studio的插件,后面会用到,这里可以先勾选一下(但要记得Visual Studio的插件只能在Visual Studio已存在时安装,版本也不要选错)。安装后,可以在Fortify安装目录下的plugins\IntelliJAnalysis目录中找到我们需要的插件。
然后是第二步,将插件安装到Android Studio上。在Android Studio中打开插件的界面,选择设置的图标,然后选择Install Plugin from Disk...选项,选中前面说到的插件文件。然后重启Android Studio即可生效。
生效后我们可以在Android Studio的标题栏中找到Fortify选项,在Fortify->Analysis Settings...选项中,我们可以配置该插件扫描源码的规则和配置。
蕞后,我们点击Fortify->Analyze Project选项,即可扫描项目并在项目的根目录生成fpr文件
Fortify常见问题解决方法
内存不足问题
在应用Fortify SCA实施源代码扫描过程中内存不足是分析器(sourceanalyzer)经常报出的一类问题,如下:
扫描过程中:
1、com.a.analyzer.AbortedException: There is not enough memory available
2、to complete analysis. For details on making more memory available;
There were 3 problems with insufficient memory. Results may be incomplete.
因此,我们必须对JVM参数进行调整,增加虚拟器内存大小。
(1)确认安装64位的Fortify SCA程序;(这是一个众所周知的JVM问题,32为虚拟机内存大小及其有限);
(2)安装一个64位的jre,并将其替换HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\的jre目录(就算你安装了64位的Fortify SCA程序,该程序默认的jre仍然是32位的);
Fortify SCA覆盖规则
以下演示覆盖一个秘钥硬编码的规则:
还是以fortify安装目录下自带的php示例代码(Samples\basic\php)为例
由于没有加密机和密码托管平台,数据库密码只能明文写在代码或配置文件里,怎么不让fortify重复报出这种问题呢?
写一条新规则覆盖这个id的规则,如下xml:
随便一个不会用到的保存秘钥的变量名pasword,覆盖了这条规则
以上信息由专业从事源代码扫描工具fortify版本的华克斯于2024/5/1 8:21:29发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2744874351.html
下一条:国产氟膜厂家免费咨询「赛普林特」