进行安全扫描_Fortify Sca自定义扫描规则
前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况,而不必为所有这些假想情况经过必要的计算来执行这些代码。
那么代码安全扫描工具到底应该怎么使用?以下是参考fortify sca的作者给出的使用场景:
C/C++源码扫描系列- Fortify 篇
环境搭建
Linux搭建
解压的压缩包,然后执行 ./Fortify_SCA_and_Apps_19.2.1_linux_x64.run 按照引导完成安装即可,安装完成后进入目录执行sourceanalyzer来查看是否安装完成
然后将 rules 和 ExternalMetadata 拷贝到对应的目录中完成规则的安装。
Fortify的工作原理和codeql类似,首先会需要使用Fortify对目标源码进行分析提取源代码中的信息,源代码扫描工具fortify规则库,然后使用规则从源码信息中查询出匹配的代码。
Fortify SCA安全合规问题规则定制
《互联网个人信息保护指南》里指出重要数据在存储过程中应保密,源代码检测工具fortify规则库,包括但不限于鉴别数据和个人信息。而我们在实际审查中发现,有的应用为了排查问题方便,在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现,而fortify默认的规则是无法识别shenfenzheng号这种信息的,我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别
1.增加对合规信息的识别
2.定制漏洞描述和修复建议
源代码扫描工具fortify规则库-华克斯由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!