Fortify SCA 主要特性
4、 Audit Assistant 的机器学习能力,为您的企业识别相关度的漏洞并确定优先级,从而节省人工审计时间。
应用机器学习的自动化减少了人工审计时间,以扩大静态应用安全性测试的 ROI。好处在于:
在几分钟内提供自动化的审计结果,地减少审计人员的工作量,以置信度对问题进行优先排序,在整个项目中创建准确和一致的审计结果;
以 DevOps 的速度进行审计,整合 SCA 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能;
除此外,还可以减少需要深度人工检查的问题数量;及时发现相关问题,及时排除误报;利用现有资源扩展应用安全等等
5、 ScanCentral 可支持服务器上的轻量级打包,并提供可扩展的、集中的 Fortify 扫描基础设施,以满足软件安全中心不断增长的现代化开发需求。
6、 调整扫描以实现所需的灵活性,并可通过内部部署、按需部署或混合方式进行扩展等。
Fortify编写自定义规则原理
要编写有效的自定义规则,就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数,有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言,都有其庞大的开源框架和lib库。所以自定义规则,既要精通安全漏洞原理,又要熟练掌握一门或几门开发语言,一般自定义规则用的比较多的语言有java、C/C++、PHP等。其次必须识别与安全相关的函数,并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系,使用自定义规则编辑器来创建规则就相对简单了。
Fortify安装使用简易教程
Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规则集进行地匹配、查找。
好安装包后,双击安装应用程序
点击Next进行下一步
接受协议,点击Next
选择安装位置或者默认位置,点击Next
勾选你要安装的插件,点击Next下一步
选择cense,点击下一步
选择更新服务器,这里可以不用填写
Fortify审计界面概述
下图显示了“Auditing(审计)”界面中的 Webgoat FPR 文件示例。
Audit Workbench 界面:
Audit Workbench 界面由以下几个面板组成:
“Issues(问题)”面板
“Analysis Trace(分析跟踪)”面板
“Project Summary(项目摘要)”面板
“Source Code Viewer(源代码查看器)”面板
“Function(函数)”面板
“Issue Auditing(问题审计)”面板
“Issues(问题)”面板
使用 Issues(问题)面板,您可以对希望审计的问题进行分组和选择。该面板由下列元素组成:
“Filter Set(过滤器组)”下拉列表
“Folders(文件夹)”选项卡
Group by(分组方式)
“Search(搜索)”框