新一代 Fortify 发布,抢先部署等你来!
此次更新的软件服务包括:Static Code Analyzer、WebInspect、Software Security Center、Software Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST)。
Fortify SAST 新增功能
SAST Speed Dial
根据应用需求调整扫描深度,以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%,并在需要时保存深度 SAST 扫描。新增功能如下:
1. 增加3级和4级支持
2. 将中间显影扫描速度提高50%(减少报告问题)
3. 减少 Java 和 C/C++ 等类型语言的扫描时间
4. 4级支持提供完整扫描
Fortify 审计
Fortify扫描后生成的fpr文件,就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。
使用Fortify Audit Workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为Fortify默认的解析字节码是GBK,可以在选中代码文件后,点击Edit->Set Encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全工程师确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是误报,可以右键风险项,选择Hide in AWB,即可隐藏误报问题。
然后是生成报告,我们可以选择生成两种报告:
BIRT是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项,是否显示。
Legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
Fortify SCA基本功能
1、能对软件源代码进行的检测和分析,准确的发现源代码中存在的安全漏洞和质量问题,并提供问题的有效解决建议。帮助开发人员快速的完成漏洞修复及提高应用的安全性。
2、软件能从多维度分析源代码,包括但不限于:
数据流引擎:跟踪, 记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数, 方法的使用的安全问题。
结构引擎:分析程序上下文环境, 结构中的安全问题。
控制流引擎:分析程序特定时间, 状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题
Fortify SCA 安装
About Installing Fortify Static Code Analyzer and Applicati0ns
描述了如何安装增强的静态代码分析器和应用程序。需要一个Fortify的许可证文件来完成这个过程。可以使用标准安装向导,也可以静默地执行安装。还可以在非windows系统上执行基于文本的安装。为了获得蕞佳性能,请尽量在扫描的代码驻留的同一本地文件系统上安装Fortify静态代码分析器。
注意:在非windows系统上,必须以拥有写权限的主目录的用户身份安装Fortify Static Code Analyzer和应用程序。不要将Fortify静态代码分析器和应用程序作为没有主目录的非根用户安装
security content安全包由安全编码规则包和外部元数据组成。安全编码规则包描述了流行语言和公共api的一般安全编码习惯用法。外部元数据包括从Fortify类别到可选类别(如CWE、OWASP Th 10和PCI)的映射。.
要升级增强的静态代码分析器和应用程序,请安装新版本并选择从以前的安装迁移设置。这个迁移保存并更新了位于<sca_install_dir>/Core/config目录中的Fortify静态代码分析器工件文件。
安装新版本后,可以卸载以前的版本。有关更多信息,请参见卸载Fortify静态代码分析器和应用程序。
注意:可以继续安装以前的版本。如果在同一个系统上安装了多个版本,那么在从命令行运行命令时将调用蕞近安装的版本。扫描来自Fortify安全插件的源代码还使用了蕞新安装的Fortify静态代码分析器版本。
如果选择不从以前的版本迁移任何设置,Fortify建议您保存以下数据的备份。
以上信息由专业从事源代码扫描工具fortify价格表的华克斯于2024/5/24 7:16:27发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/hksxxkj-2757796429.html
