华克斯-华东fortify sca

Fortify SCA安全合规问题规则定制

《互联网个人信息保护指南》里指出重要数据在存储过程中应保密，包括但不限于鉴别数据和个人信息。而我们在实际审查中发现，源代码扫描工具fortify sca，有的应用为了排查问题方便，华东fortify sca，在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现，源代码扫描工具fortify sca，而fortify默认的规则是无法识别shenfenzheng号这种信息的，我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别

1.增加对合规信息的识别

2.定制漏洞描述和修复建议

代码质量利器：Fortify SCA使用指南

静态代码分析器SCA（Static Code Analyzer）：包含多种语言的安全相关的规则，而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所，同时还可以定制安全规则。

在使用上SCA主要按照如下步骤进行：

步骤1: 单独运行SCA或者将SCA与构建工具进行集成

步骤2: 将代码转换为临时的中间格式

步骤3: 对转换的中间格式的代码进行扫描，生成安全合规性的报告

步骤4: 对结果进行审计，一般通过使用Fortify Audit Workbench打开FPR（Fortify Project Results）文件或者将结果上传至SSC（Fortify Software Security Center）来进行分析，从而直接看到蕞终的结果信息

Fortify SCA 主要特性

1、覆盖大部分对友好的语言，源代码检测工具fortify sca，支持：

ABAP/BSP、Apex、ASP.NET、C# (.NET)、C/ C++、Classic、ASP（与 VBScript）、COBOL、ColdFusion CFML、Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等

2、 灵活的部署选项适应团队开发环境，

比如：Fortify On Demand 允许团队在完全基于 SaaS 的环境中工作；Fortify Hosted 通过在隔离的虚拟环境中工作，完全控制用户数据，为您提供 SaaS 和内部部署的效果；Fortify On-Prem 允许团队对增强解决方案的所有方面有的控制权。

3、 安全助理，为开发人员提供实时的代码、安全分析和结果。

它提供了结构和配置分析器，这些分析器是专门为速度和效率而建立的，以支持我们即时的安全反馈工具；安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。

安全助理还可以作为开发人员的额外工作助手，与静态扫描结合使用，帮助获得更的安全问题视图。目前，所有 Fortify SCA 和Fortify On-Prem SCA 的客户无需额外的许可证或费用，即可使用安全助理。