源代码检测工具fortify规则-华克斯信息

Fortify SCA的十一大优势:

1.FortifySCA支持系统平台是的，能扫描的语言种类是的。

2.FortifySCA能面地(五个方面)分析源代码中存在的问题。

3.FortifySCA能够扫描出来300多种漏洞，业界中是的。

4.FortifySCA的测试速度是比较快的，约15分种1万行。

5.FortifySCA提供了强大的审计平台和详细的漏洞信息。

6.FortifvSCA提供了漏洞的详细说明和相应的修复建议。

7.FortifySCA提供了中文详细说明和相应的修复建议信息。

8.FortifySCA支持成熟的IDE开发环境，如EclipseVisual Studio

9.FortifySCA操作简单，使用方便，易用。

10.FortifySCA提供多种漏洞报表。

11.FortifvSCA获得过许多国际大奖，目前是同类产品

Fortify常见问题解决方法

.Net环境匹配问题

由于Fortify SCA版本对于支持.Net环境的版本有限，源代码扫描工具fortify规则，比如蕞大支持到Microsoft SDK 7.0A

版本的SDK，fortify规则，如下脚本：

1、echo Searching VS Version....

2、reg QUERY "HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v7.0A" 2>NUL >NUL

3、IF %ERRORLEVEL%==0 (

4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%

5、echo Found .NET 4.0 setting to VS version 10.0

6、GOTO VSSELECTED

通过Windows注册表中的SDK信息设置扫描依赖版本；

而且，由于Windows版本和.Net Framework版本的差异，环境上往往需要自己增加许多配置项，蕞常见的配置如下：

（1）SDK版本设置：

比如是8.1版本的，我们可以修改脚本文件：

reg QUERY "HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v8.1A" 2>NUL >NUL

（2）ildasm路径设置

Unable to locate ildasm是一个常见问题，在转换中没有寻找到ildasm程序，可以通过以下方法设置：

1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:﹨Program Files (x86)﹨Microsoft SDKs﹨Windows﹨v8.1A﹨bin﹨NETFX 4.5.1 Tools﹨ildasm（一定是双斜杠）

Fortify介绍    

Fortify是一款强大的静态代码扫描分析工具，其发现代码漏洞缺陷的能力十分强悍，源代码检测工具fortify规则，主要是将代码经过编译，源代码检测工具fortify规则，依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时，也提供了自定义规则的接口，只要经过正版授权后，便可以在此基础上自定义规则，来增强Fortify SCA的漏洞识别能力，同时经过自定义规则，也可以降低误报，使静态分析的准确度和性。

    默认情况下，Fortify SCA使用安装的安全编码规则包来检查源代码，并定义一系列可能出现的问题，如可者李勇的安全漏洞和不良的编码缺陷。

   安全编码规则中的规则分析受支持语言的和扩展的API包中的函数，并将分析结果记录在Fortify SCA中。每一个问题的解释包含了对问题的描述和建议的解决方案，一边更好的解决程序中的漏洞和缺陷。也可以通过创建自定义规则包来准确地分析特定的应用程序，验证专门的安全规则以及细化Fortify SCA所报告的问题。