华克斯-四川fortify一年多少钱

Fortify 审计

Fortify扫描后生成的fpr文件，就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。

使用Fortify Audit Workbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项，源代码扫描工具fortify一年多少钱，左下角可以看到整个数据链路，了解数据的传递路径。视图中上位置是代码窗口，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，往往是因为Fortify默认的解析字节码是GBK，可以在选中代码文件后，点击Edit->Set Encoding...选项，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全工程师确定问题，识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中，如果发现问题是误报，四川fortify一年多少钱，可以右键风险项，选择Hide in AWB，即可隐藏误报问题。

然后是生成报告，我们可以选择生成两种报告：

BIRT是统计报告，源代码检测工具fortify一年多少钱，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项，是否显示。

Legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，可以提供给业务确认风险。

Fortify SCA扫描结果展示

2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描，并经过开发人员或安全人员审计，那么历史的审计信息可以沿用，每个漏洞都有一个编号instance ID，已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。

3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向，但这个方式需要大量可靠的漏洞审计样本，如果样本少的话会很难操作。

Fortify “Source Code Viewer（源代码查看器）”面板：

“Source Code Viewer（源代码查看器）”面板显示了与在“Issues（问题）”面板中选择的问题相关联的代码段。如果“Analysis Trace（分析跟踪）”面板中的多个节点代表一个问题，则“Source Code Viewer（源代码查看器）”面板会显示与所选节点相关联的代码。

在“Source Code Viewer（源代码查看器）”面板中，您可以使用代码辅助功能创建自定义规则和新问题，如下所示：

要为某个函数创建规则，请将光标放在该函数中，单击鼠标右键，然后选择 Write Rule for This Function（为此函数编写规则）。

要创建新问题，请将光标放在该函数中，单击鼠标右键，然后选择 Create New Issue（创建新问题）。