一、 Fortify SCA概述
1、Source Code Analysis 阶段概述
Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段:
转换:使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。
扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。
校验:确保所有源文件均包含在扫描过程中,使用的是正确的规则包,且没有报告重大错误。
2、安全编码规则包概述
安全编码规则包是 Fortify Software 安全研究小组多年软件安全经验的体现,并且经过其不断努力改进而成。这些规则是通过对编码理论和常用编码实践的研究,而取得的软件安全知识的巨大积累,并且在 Fortify Software 安全研究小组的努力下不断扩展和改进。每个安全编码规则包均包含大量的规则,源代码检测工具fortify扫描,每个规则定义了一个被 source code analysis 检测出的特定异常行为。
一旦检测出安全问题,安全编码规则包会提供有关问题的信息,让开发人员能够计划并实施修复工作,这样比研究问题的安全细节更为有效。这些信息包括关于问题类别的具体信息、该问题会如何者利用,以及开发人员如何确保代码不受此漏洞的威胁。
安全编码规则包支持多种编程语言,也支持各种经过扩展的第三方库和配置文件。
有关当前安全编码规则包的信息,请参见《安全编码规则包参考》。
Fortify SCA 优势
1、 扫描快又准
? 在开发早期就捕获了大部分代码相关性问题;
? 识别并消除源代码、二进制代码或字节代码中的漏洞;
? 支持 27 种编程语言中 815 种的漏洞类别,并跨越超过 100 万个独立的 API;
?在 OWASP 1.2b 基准测验中,真实阳性率为100%,证明了高度的准确性。
2、CI/CD 管道中的安全自动化
? 识别和优先处理构成威胁的漏洞,快速降低风险;
? 与CI/CD 工具充分集成,包括 Jenkins, ALM Octane, Jira, Atlassian Bamboo, Azure DevOps, Eclipse 和 Microsoft Visual Studio 等;
? 实时审查扫描结果并获得访问建议,fortify扫描,通过代码行导航更快地发现漏洞和与审计开展协作。
3、节约开发时间和成本
? 嵌入 SDLC 后,开发时间和成本平均降低 25%,且早期修复漏洞成本比制作/发布后阶段低 30 倍;
? 发现漏洞数是原来的 2 倍,源代码检测工具fortify扫描,误报率降低 95%;(数据来源:《Micro Focus Fortify 2017 商业价值可持续交付》)
? 通过在开发人员工作时对他们进行静态应用安全测试培训,满足安全编码实践要求。
Fortify编写自定义规则原理
要编写有效的自定义规则,就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数,有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言,都有其庞大的开源框架和lib库。所以自定义规则,既要精通安全漏洞原理,又要熟练掌握一门或几门开发语言,源代码审计工具fortify扫描,一般自定义规则用的比较多的语言有java、C/C++、PHP等。其次必须识别与安全相关的函数,并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系,使用自定义规则编辑器来创建规则就相对简单了。
源代码审计工具fortify扫描-fortify扫描-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务,公司拥有“Loadrunner,Fortify,Webinspect”等品牌,专注于行业软件等行业。,在苏州工业园区新平街388号的名声不错。欢迎来电垂询,联系人:华克斯。