源代码检测工具fortify-苏州华克斯公司

进行安全扫描_Fortify Sca自定义扫描规则

前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况，而不必为所有这些假想情况经过必要的计算来执行这些代码。

那么代码安全扫描工具到底应该怎么使用？以下是参考fortify sca的作者给出的使用场景：

常规安全问题(如代码注入类漏洞)这块，源代码检测工具fortify，目前的fortify sca规则存在较多误报，通过规则优化降低误报。而在特定安全问题上，越来越多的合规要求需要满足(如等保、国信办、银保监要求)，自带的扫描规则肯定检测不到这些问题，需要自定义扫描规则，从合规的角度来展示安全风险。常规安全问题误报优化目前开发人员反馈蕞多的问题是：代码安全扫描工具误报较多，我们先看下代码安全安全分析的过程，如下图示：

Fortify安装使用简易教程

Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行地匹配、查找。

好安装包后，双击安装应用程序

点击Next进行下一步

接受协议，点击Next

选择安装位置或者默认位置，源代码检测工具fortify一年多少钱，点击Next

勾选你要安装的插件，点击Next下一步

选择﹨cense，源代码检测工具fortify扫描，点击下一步

选择更新服务器，这里可以不用填写

Fortify SCA安全合规问题规则定制

《互联网个人信息保护指南》里指出重要数据在存储过程中应保密，源代码检测工具fortify代理商，包括但不限于鉴别数据和个人信息。而我们在实际审查中发现，有的应用为了排查问题方便，在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现，而fortify默认的规则是无法识别shenfenzheng号这种信息的，我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别

1.增加对合规信息的识别

2.定制漏洞描述和修复建议

源代码检测工具fortify-苏州华克斯公司由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！