Fortify “Function(函数)”面板:
Function(函数)面板显示了项目中的函数/方法列表。使用“Function(函数)”面板可找出该函数在源代码中的位置,了解函数是否应用和匹配某个规则,以及编写和验证自定义规则。
“Function(函数)”面板具有以下选项:
Show(显示):确定显示在该列表中的函数。
Group by(分组方式):将函数归类到各个包和类中,显示层次结构或直接显示所有函数而不进行分组。
Include unused funct(包括未使用的函数):显示源代码中的每个函数。默认情况下,列表中不会包含未使用的函数。
Foritfy SCA主要包含的五大分析引擎:
数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境,结构中的安全问题。
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
特有的X-Tier?:跨跃项目的上下层次,贯穿程序来综合分析问题。
Fortify SCA扫描结果展示
2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描,源代码审计工具fortify工具,并经过开发人员或安全人员审计,源代码审计工具fortify工具,那么历史的审计信息可以沿用,源代码检测工具fortify工具,每个漏洞都有一个编号instance ID,华中fortify工具,已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。
3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向,但这个方式需要大量可靠的漏洞审计样本,如果样本少的话会很难操作。
源代码检测工具fortify工具-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司拥有很好的服务与产品,不断地受到新老用户及业内人士的肯定和信任。我们公司是商盟认证会员,点击页面的商盟客服图标,可以直接与我们客服人员对话,愿我们今后的合作愉快!