Fortify 静态代码分析器(SCA)利用多种算法和扩展的安全编码规则知识库,分析应用程序的源代码,及时发现可修复的漏洞。
为更好处理代码,Fortify SCA 的工作方式与编译器存在相似性——读取并将源代码文件转换为增强的中间结构,以快速执行安全分析。分析引擎由多个专门的分析程序组成,基于安全编码规则分析代码库是否违反了安全编码实践。除此外,Fortify SCA 还提供规则构建器以扩展静态分析,并包含自定义规则,用户根据受众和任务特性,灵活查看分析结果。
进行安全扫描_Fortify Sca自定义扫描规则
前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况,而不必为所有这些假想情况经过必要的计算来执行这些代码。
那么代码安全扫描工具到底应该怎么使用?以下是参考fortify sca的作者给出的使用场景:
Fortify SCA安全合规问题规则定制
《互联网个人信息保护指南》里指出重要数据在存储过程中应保密,包括但不限于鉴别数据和个人信息。而我们在实际审查中发现,有的应用为了排查问题方便,在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现,而fortify默认的规则是无法识别shenfenzheng号这种信息的,我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别
1.增加对合规信息的识别
2.定制漏洞描述和修复建议
Fortify SCA卸载(二)
根据的操作系统,键入以下命令之一:
Windows Uninstall_FortifySCAandApps_.exe --mode unattended
Unix or Linux ./n --mode unattended
macOS Uninstall_FortifySCAandApps_.app/Contents/MacOS/
–mode unattended
注意:卸载程序会删除与要卸载的Fortify Static Code Analyzer版本相关联的应用程序设置文件夹。
Uninstalling Fortify Static Code Analyzer and Applicati0ns in Text-Based Mode on Non-Windows Platforms
要以文本模式卸载Fortify静态代码分析器,请运行操作系统的文本安装命令,如下所示:
导航到安装目录。
根据操作系统,键入以下命令之一:
Unix or Linux
./n --mode text
macOS
Uninstall_FortifySCAandApps_.app/Contents/MacOS/ --mode text
以上信息由专业从事源代码检测工具fortify规则库的华克斯于2025/2/26 21:32:14发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2844405947.html
