进行安全扫描_FortifySca自定义扫描规则前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况，而不必为所有这些假想情况经过必要的计算来执行这些代码。那么代码安全扫描工具到底应该怎么使用？以下是参考fortifysca的作者给出的使用场景：常规安全问题(如代码注入类漏洞)这块，目前的fortifysca规则存在较多误报，源代码审计工具fortify规则库，通过规则优化降低误报。而在特定安全问题上，越来越多的合规要求需要满足(如等保、国信办、银保监要求)，fortify规则库，自带的扫描规则肯定检测不到这些问题，需要自定义扫描规则，从合规的角度来展示安全风险。常规安全问题误报优化目前开发人员反馈蕞多的问题是：代码安全扫描工具误报较多，我们先看下代码安全安全分析的过程，如下图示：C/C++源码扫描系列-Fortify篇环境搭建Linux搭建解压的压缩包，然后执行./Fortify_SCA_and_Apps_19.2.1_linux_x64.run按照引导完成安装即可，安装完成后进入目录执行sourceanalyzer来查看是否安装完成然后将rules和ExternalMetadata拷贝到对应的目录中完成规则的安装。Fortify的工作原理和codeql类似，首先会需要使用Fortify对目标源码进行分析提取源代码中的信息，源代码扫描工具fortify规则库，然后使用规则从源码信息中查询出匹配的代码。FortifySCA安全合规问题规则定制《互联网个人信息保护指南》里指出重要数据在存储过程中应保密，源代码检测工具fortify规则库，包括但不限于鉴别数据和个人信息。而我们在实际审查中发现，有的应用为了排查问题方便，在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现，而fortify默认的规则是无法识别shenfenzheng号这种信息的，我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别1.增加对合规信息的识别2.定制漏洞描述和修复建议源代码扫描工具fortify规则库-华克斯由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！)