苏州华克斯信息-西南fortify sca

进行安全扫描_Fortify Sca自定义扫描规则

前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况，而不必为所有这些假想情况经过必要的计算来执行这些代码。

那么代码安全扫描工具到底应该怎么使用？以下是参考fortify sca的作者给出的使用场景：

常规安全问题(如代码注入类漏洞)这块，目前的fortify sca规则存在较多误报，通过规则优化降低误报。而在特定安全问题上，越来越多的合规要求需要满足(如等保、国信办、银保监要求)，西南fortify sca，自带的扫描规则肯定检测不到这些问题，需要自定义扫描规则，源代码检测工具fortify sca，从合规的角度来展示安全风险。常规安全问题误报优化目前开发人员反馈蕞多的问题是：代码安全扫描工具误报较多，我们先看下代码安全安全分析的过程，如下图示：

Fortify相比codeql的优势在于：

商用工具，拥有许多预设规则，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。

Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

HP Fortify SCA采用的X-Tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则（Rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

Fortify SCA扫描结果展示

2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描，源代码检测工具fortify sca，并经过开发人员或安全人员审计，那么历史的审计信息可以沿用，每个漏洞都有一个编号instance ID，已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。

3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向，但这个方式需要大量可靠的漏洞审计样本，如果样本少的话会很难操作。

苏州华克斯信息-西南fortify sca由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情，华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场，衷心希望能与社会各界合作，共创成功，共创辉煌。相关业务欢迎垂询，联系人：华克斯。