苏州华克斯-源代码审计工具fortify总代理

Fortify 审计

Fortify扫描后生成的fpr文件，就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。

使用Fortify Audit Workbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项，左下角可以看到整个数据链路，源代码审计工具fortify，了解数据的传递路径。视图中上位置是代码窗口，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，往往是因为Fortify默认的解析字节码是GBK，可以在选中代码文件后，点击Edit->Set Encoding...选项，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全工程师确定问题，源代码审计工具fortify报告中文插件，识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中，如果发现问题是误报，可以右键风险项，选择Hide in AWB，即可隐藏误报问题。

然后是生成报告，我们可以选择生成两种报告：

BIRT是统计报告，源代码审计工具fortify总代理，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项，是否显示。

Legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，可以提供给业务确认风险。

新一代 Fortify 发布，抢先部署等你来！

此次更新的软件服务包括：Static Code Analyzer、WebInspect、Software Security Center、Software  Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器（SAST），Fortify WebInspect是动态应用安全测试软件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根据应用需求调整扫描深度，以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%，并在需要时保存深度 SAST 扫描。新增功能如下：

1. 增加3级和4级支持

2. 将中间显影扫描速度提高50%（减少报告问题）

3. 减少 Java 和 C/C++ 等类型语言的扫描时间

4. 4级支持提供完整扫描

Fortify “Source Code Viewer（源代码查看器）”面板：

“Source Code Viewer（源代码查看器）”面板显示了与在“Issues（问题）”面板中选择的问题相关联的代码段。如果“Analysis Trace（分析跟踪）”面板中的多个节点代表一个问题，则“Source Code Viewer（源代码查看器）”面板会显示与所选节点相关联的代码。

在“Source Code Viewer（源代码查看器）”面板中，您可以使用代码辅助功能创建自定义规则和新问题，如下所示：

要为某个函数创建规则，请将光标放在该函数中，单击鼠标右键，然后选择 Write Rule for This Function（为此函数编写规则）。

要创建新问题，请将光标放在该函数中，单击鼠标右键，然后选择 Create New Issue（创建新问题）。