源代码检测工具fortify采购-fortify采购-华克斯

进行安全扫描_Fortify Sca自定义扫描规则

源代码编写

1. 编码规范尽量使用fortify认可的安全库函数，如ESAPI，使用ESAPI后fortify sca会把漏洞标记为低危，fortify采购，是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数

2. 使用注解(针对java)如果我们用过SonarQube，我们会发现有两种修改代码的方式来解决误报。

注释

在被误判的代码行后面加上注释：//NOSONAR

String name = user.getName(); //NOSONAR

注解

在类或方法上面加上 @SuppressWarnings 注解

Fortify SSC

无论软件基于桌面端、移动端或者云端，Fortify SSC 都能帮助企业管理软件安全风险，确保其符合内外部的安全规定。

同时，Fortify SSC 还凭借着的静态/动态安全测试功能，以及主动安全管理的集成框架，帮助企业识别在开发过程、遗留应用程序以及整个软件开发生命周期中的风险，源代码检测工具fortify采购，加强防御风险的能力。蕞后，尽管 SAP 开发小组分散办公，但公司团队可以在 Fortify SSC 内整合并跟踪全部结果。

Fortify SCA卸载（二）

根据的操作系统，键入以下命令之一:

Windows Uninstall_FortifySCAandApps_.exe --mode unattended

Unix or Linux ./n --mode unattended

macOS Uninstall_FortifySCAandApps_.app/Contents/MacOS/

–mode unattended

注意:卸载程序会删除与要卸载的Fortify Static Code Analyzer版本相关联的应用程序设置文件夹。

Uninstalling Fortify Static Code Analyzer and Applicati0ns in Text-Based Mode on Non-Windows Platforms

要以文本模式卸载Fortify静态代码分析器，源代码扫描工具fortify采购，请运行操作系统的文本安装命令，如下所示:

导航到安装目录。

根据操作系统，键入以下命令之一:

Unix or Linux

./n --mode text

macOS

Uninstall_FortifySCAandApps_.app/Contents/MacOS/ --mode text