辽宁fortify报告中文插件-苏州华克斯

进行安全扫描_Fortify Sca自定义扫描规则

源代码编写

1. 编码规范尽量使用fortify认可的安全库函数，如ESAPI，源代码检测工具fortify报告中文插件，使用ESAPI后fortify sca会把漏洞标记为低危，是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数

2. 使用注解(针对java)如果我们用过SonarQube，我们会发现有两种修改代码的方式来解决误报。

注释

在被误判的代码行后面加上注释：//NOSONAR

String name = user.getName(); //NOSONAR

注解

在类或方法上面加上 @SuppressWarnings 注解

Fortify Source Code Analysis Suite是目前在使用为广泛的软件源代码安全扫描，分析和软件安全风险管理软件。该软件多次荣获的软件安全大奖，包括InforWord， Jolt，SC Magazine….目前众多的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率，监视和管理软件安全的风险.

Fortify SCA源代码安全漏洞的审计功能：

1．安全漏洞扫描结果的汇总和问题优先级别划分功能。

2．安全审计自动导航功能

3．安全问题定位和问题传递过程跟踪功能。

4．安全问题查询和过滤功能。

5．安全问题审计结果、审计类别划分和问题旁注功能。

6．安全问题描述和推荐修复建议。

Fortify SCA产品特性：

1．从多方面分析软件源代码，查找软件安全漏洞，是目前采用分析技术的，检查代码安全问题，其检查方式分别为：数据流、控制流、语义、配置流和代码结构

2．是目前能跨越软件不同层次和不同语言边界的静态分析技术，能安全漏洞引入的过程。

3．安全代码规则面，安全漏洞检查。目前包括150多种类别的安全漏洞，其安全代码规则多达50000多条。规则内容涉及ASP.NET， C/C++， C#， ColdFusion，Java， JSP， PL/SQL， T-SQL， XML，VB.NET and other .NET等多种语言

4．支持多种国际软件安全的标准：OWASP、Payment Card Industry (PCI) Compliance、Federal Informati0n Security Management Act（FISMA）Common Weakness Enumeration（CWE）….。

5. 支持混合语言的分析，源代码检测工具fortify报告中文插件，包括 ASP.NET， C/C++， C#， Java?， JSP， PL/SQL，T-SQL，辽宁fortify报告中文插件， VB.NET， XML and other .NET languages. Fortify SCA 支持 Windows， Solaris， Linux，源代码扫描工具fortify报告中文插件， AIX，and Mac OS ….等多种操作系统

6. 支持自定义软件安全代码规则。

7．集成软件开发环境（Microsoft Visual Studio， IBM RAD， and Eclipse.）和自动产品构建过程。

8． 基于Web接口，能对企业多个项目进行集中的安全统计、分析和管理