fortify规则-苏州华克斯

Fortify常见问题解决方法

.Net环境匹配问题

由于Fortify SCA版本对于支持.Net环境的版本有限，比如蕞大支持到Microsoft SDK 7.0A

版本的SDK，fortify规则，如下脚本：

1、echo Searching VS Version....

2、reg QUERY "HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v7.0A" 2>NUL >NUL

3、IF %ERRORLEVEL%==0 (

4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%

5、echo Found .NET 4.0 setting to VS version 10.0

6、GOTO VSSELECTED

通过Windows注册表中的SDK信息设置扫描依赖版本；

而且，由于Windows版本和.Net Framework版本的差异，环境上往往需要自己增加许多配置项，蕞常见的配置如下：

（1）SDK版本设置：

比如是8.1版本的，我们可以修改脚本文件：

reg QUERY "HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v8.1A" 2>NUL >NUL

（2）ildasm路径设置

Unable to locate ildasm是一个常见问题，在转换中没有寻找到ildasm程序，源代码审计工具fortify规则，可以通过以下方法设置：

1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:﹨Program Files (x86)﹨Microsoft SDKs﹨Windows﹨v8.1A﹨bin﹨NETFX 4.5.1 Tools﹨ildasm（一定是双斜杠）

Fortify编写自定义规则原理

要编写有效的自定义规则，源代码检测工具fortify规则，就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数，有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言，都有其庞大的开源框架和lib库。所以自定义规则，既要精通安全漏洞原理，又要熟练掌握一门或几门开发语言，一般自定义规则用的比较多的语言有java、C/C++、PHP等。其次必须识别与安全相关的函数，并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系，使用自定义规则编辑器来创建规则就相对简单了。

Fortify “Issue Auditing（问题审计）”面板：

“Issue Auditing（问题审计）”面板在以下一组选项卡中提供了有关各问题的详细信息：

Summary（摘要）

Details（详细信息）

Recommendat（建议）

History（历史记录）

Diagram（图示）

Filter（过滤器）

注意：使用选项）- Show View（显示视图）菜单可显示或隐藏“Issue Auditing（问题审计）”面板中的选项卡。