重庆fortify规则库-华克斯

Fortify SCA扫描功能分析

1、能够跟踪的输入数据，源代码检测工具fortify规则库，直到该数据被不安全使用的全过程中，分析数据使用中的安全隐患。

2、安全漏洞分析需拥有目前业界和的代码漏洞规则库，重庆fortify规则库，能够检测的漏洞类型不少于948种。

3、支持检测业界的代码安全漏洞，工具能够支持检测的漏洞必须依从于的和规范，如OWASP Th 10 2017、 PCI DSS、PCI SSF、GDPR、MISRA、DISA、FISMA、CWE、SANS25等。

4、漏洞扫描规则支持客户自定义，同时需提供友好的图形化的自定义向导和编辑器，源代码检测工具fortify规则库，自动生成规则脚本。

Fortify常见问题解决方法

.Net环境匹配问题

由于Fortify SCA版本对于支持.Net环境的版本有限，比如蕞大支持到Microsoft SDK 7.0A

版本的SDK，如下脚本：

1、echo Searching VS Version....

2、reg QUERY 'HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v7.0A' 2>NUL >NUL

3、IF %ERRORLEVEL%==0 (

4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%

5、echo Found .NET 4.0 setting to VS version 10.0

6、GOTO VSSELECTED

通过Windows注册表中的SDK信息设置扫描依赖版本；

而且，由于Windows版本和.Net Framework版本的差异，环境上往往需要自己增加许多配置项，源代码扫描工具fortify规则库，蕞常见的配置如下：

（1）SDK版本设置：

比如是8.1版本的，我们可以修改脚本文件：

reg QUERY 'HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v8.1A' 2>NUL >NUL

（2）ildasm路径设置

Unable to locate ildasm是一个常见问题，在转换中没有寻找到ildasm程序，可以通过以下方法设置：

1、fortify-perties文件增加一行com.a.IldasmPath=C:﹨Program Files (x86)﹨Microsoft SDKs﹨Windows﹨v8.1A﹨bin﹨NETFX 4.5.1 Tools﹨ildasm（一定是双斜杠）

Fortify “Project Summary（项目摘要）”面板：

“Project Summary（项目摘要）”面板提供了关于扫描的详细信息。

“Summary（摘要）”选项卡

“Certification（认证）”选项卡

“Build Information（Build 信息）”选项卡

“Analysis Information（分析信息）”选项卡

项目摘要面板

“Summary（摘要）”选项卡：

“Summary（摘要）”选项卡显示了关于本项目的信息。

“Certification（认证）”选项卡：

“Certification（认证）”选项卡显示了结果认证状态。结果认证用于检查 FPR 文件是否与 Fortify SCA 所生成的文件一致。