在 Fortify SCA 转换阶段,该文件夹会变成蓝色,且文件会添加到类路径中:
选择项目的 Java 版本。
输入 Build ID。默认情况下,Build ID 为根目录。
输入 Fortify SCA 在分析阶段生成的 FPR 的路径和文件名。
单击 Next(下一步)。
系统会显示“Commandline Builder(命令行构建器)”对话框。
命令构建器
要跳过某一阶段,请取消勾选 Enable Clean(启用清除)、Enable Translation(启用转换)或 Enable Scan(启用扫描)复选框。
Fortify DAST 更新功能
支持 HTTP/2
现代应用程序已开始利用 HTTP/2 来提高速度,源代码审计工具fortify总代理,并提供更的客户端/服务器通信来改善用户体验。WebInspect 现在可支持使用 HTTP/2 技术的应用程序。
更新引擎6.0版本
Fortify 增强引擎以提高扫描覆盖范围和性能。WebInspect 21.1.0 有着更快的爬取和审计能力,源代码审计工具fortify采购,并且提供部署了 Macro Engine 6.0的 Web Macro Recorder 的应用程序支持。
屏蔽 TruClient 参数
部署了 Macro Engine 6.0的 Web Macro Recorder 能够屏蔽密码等参数,河北源代码审计工具fortify,将它们隐藏起来。
简化用户代理选择
TruClient macros 和扫描设置现在可支持扫描配置期间的用户代理选择。
显示扫描信息
警报级别的扫描日志消息能够提供运行中的扫描质量和性能信息。
更新 OpenSSL 技术
OpenSSL 技术预览在 WebInspect 中默认 SSL/TLS 配置。此集成可支持 TLS 1.3,并为被系统管理员限制 Microsoft SCHANNEL 的客户提供选项。
简化 API 扫描
与集成的 WebInspect 可简化 API 扫描,源代码审计工具fortify价格表,使传感器中的新工作流自动检测身份验证请求。
Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
河北源代码审计工具fortify-华克斯(推荐商家)由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!