江苏fortify工具-苏州华克斯公司

Fortify相比codeql的优势在于：

商用工具，源代码审计工具fortify工具，拥有许多预设规则，江苏fortify工具，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。

Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

HP Fortify SCA采用的X-Tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则（Rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

Fortify扫描漏洞解决方案

Log Forging漏洞

1.数据从一个不可信赖的数据源进入应用程序。 在这种情况下，源代码检测工具fortify工具，数据经由getParameter()到后台。

2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要时手动执行，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据，则可能会妨碍或误导日志文件的解读。的情况是，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。如果日志文件是自动处理的，那么攻击者可以破坏文件格式或注入意外的字符，源代码检测工具fortify工具，从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式，受到破坏的日志文件可用于掩护攻击者的跟踪轨迹，甚至还可以牵连第三方来执行恶意行为。糟糕的情况是，攻击者可能向日志文件注入代码或者其他命令，利用日志处理实用程序中的漏洞。

进行安全扫描_Fortify Sca自定义扫描规则

源代码编写

1. 编码规范尽量使用fortify认可的安全库函数，如ESAPI，使用ESAPI后fortify sca会把漏洞标记为低危，是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数

2. 使用注解(针对java)如果我们用过SonarQube，我们会发现有两种修改代码的方式来解决误报。

注释

在被误判的代码行后面加上注释：//NOSONAR

String name = user.getName(); //NOSONAR

注解

在类或方法上面加上 @SuppressWarnings 注解