机械设备
浙江源代码审计工具fortify sca服务至上「多图」艺术家黄孝慈去世
2024-02-13 16:47  浏览:25
6分钟前 浙江源代码审计工具fortify sca服务至上「多图」[华克斯25b461e]内容:

Fortify SCA 是 Fortify SSC 解决方案的一部分,通过获奖的静态分析,对源代码进行漏洞检测。包括识别安全漏洞的根本原因,将原因按严重程度排序,并就漏洞修复提供详细的代码行指导。

Fortify SCA 能帮助企业确保他们的软件是值得信赖的,减少发现和修复应用程序漏洞的成本,并为安全编码建立基础。

Fortify 审计

Fortify扫描后生成的fpr文件,就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。

使用Fortify Audit Workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为Fortify默认的解析字节码是GBK,可以在选中代码文件后,点击Edit->Set Encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全工程师确定问题,识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中,如果发现问题是误报,可以右键风险项,选择Hide in AWB,即可隐藏误报问题。

然后是生成报告,我们可以选择生成两种报告:

BIRT是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项,是否显示。

Legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。

在 Fortify SCA 转换阶段,该文件夹会变成蓝色,且文件会添加到类路径中:

选择项目的 Java 版本。

输入 Build ID。默认情况下,Build ID 为根目录。

输入 Fortify SCA 在分析阶段生成的 FPR 的路径和文件名。

单击 Next(下一步)。

系统会显示“Commandline Builder(命令行构建器)”对话框。

命令构建器

要跳过某一阶段,请取消勾选 Enable Clean(启用清除)、Enable Translation(启用转换)或 Enable Scan(启用扫描)复选框。

联系方式
发表评论
0评