进行安全扫描_FortifySca自定义扫描规则源代码编写1.编码规范尽量使用fortify认可的安全库函数，如ESAPI，使用ESAPI后fortifysca会把漏洞标记为低危，是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数2.使用注解(针对java)如果我们用过SonarQube，我们会发现有两种修改代码的方式来解决误报。注释在被误判的代码行后面加上注释：//NOSONARStringname=user.getName();//NOSONAR注解在类或方法上面加上@SuppressWarnings注解FortifySCA安全合规问题规则定制《互联网个人信息保护指南》里指出重要数据在存储过程中应保密，包括但不限于鉴别数据和个人信息。而我们在实际审查中发现，有的应用为了排查问题方便，在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现，而fortify默认的规则是无法识别shenfenzheng号这种信息的，我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别1.增加对合规信息的识别2.定制漏洞描述和修复建议Fortify扫描Qt项目Fortify对于C++类型的代码扫描需要结合编译指令实现，但Fortify支持的C++指令并不多，所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦，因为需要对于Qt的qmake工具运行逻辑有一定深入分析，熟知其生成的Makefile以来的环境和make工具，难度较大，源代码扫描工具fortify规则库，所以更建议以VisualStudio的Fortify插件为入口，先将Qt项目转成VisualStudio项目，再使用插件扫描，源代码扫描工具fortify工具，这样就会容易很多。我们简单介绍一下流程:1、在VisualStudio中安装QtVisualStudioTools插件和Fortify插件。2、在Qt插件的QtOpt选项中配置编译套件，该套件位置可以在Qt对应版本下面，源代码扫描工具fortifysca价格，比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。3、使用Qt插件的OpenQtProjectFile(.pro)...打开对应的Qt项目，并使用插件的ConvertcustombuildstepstoQt/MSBuild选项，将项目转成vs项目，西南源代码扫描工具fortify，并生成对应的.vcsproj文件。测试能成功运行后，就可以使用Fortify进行扫描了。步骤类似与上面的Android项目，即可生成对应的fpr文件。另外，如果想要使用命令来自动化的进行项目扫描，但不知道一个类型的项目如何进行适配，可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.java.command属性内容，里面包含了该项目生成扫描中间文件的指令参数，可以参考了解如何配置自动化的扫描平台。华克斯-源代码扫描工具fortify工具由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来，我们坚持以“诚信为本，稳健经营”的方针，勇于参与市场的良性竞争，使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上，用户至上”的原则，使华克斯在行业软件中赢得了客户的信任，树立了良好的企业形象。特别说明：本信息的图片和资料仅供参考，欢迎联系我们索取准确的资料，谢谢！)