一、FortifySCA概述1、SourceCodeAnalysis阶段概述AuditWorkbench会启动FortifySCA“Scanning（扫描）”向导来扫描和分析源代码。该向导整合了以下几个分析阶段：转换：使用源代码创建中间文件，源代码与一个BuildID相关联，BuildID通常就是项目名称。扫描与分析：扫描中间文件，分析代码，并将结果写入一个FortifyProjectResults(FPR)文件。校验：确保所有源文件均包含在扫描过程中，使用的是正确的规则包，且没有报告重大错误。2、安全编码规则包概述安全编码规则包是FortifySoftware安全研究小组多年软件安全经验的体现，并且经过其不断努力改进而成。这些规则是通过对编码理论和常用编码实践的研究，而取得的软件安全知识的巨大积累，并且在FortifySoftware安全研究小组的努力下不断扩展和改进。每个安全编码规则包均包含大量的规则，源代码检测工具fortify扫描，每个规则定义了一个被sourcecodeanalysis检测出的特定异常行为。一旦检测出安全问题，安全编码规则包会提供有关问题的信息，让开发人员能够计划并实施修复工作，这样比研究问题的安全细节更为有效。这些信息包括关于问题类别的具体信息、该问题会如何者利用，以及开发人员如何确保代码不受此漏洞的威胁。安全编码规则包支持多种编程语言，也支持各种经过扩展的第三方库和配置文件。有关当前安全编码规则包的信息，请参见《安全编码规则包参考》。FortifySCA优势1、扫描快又准?在开发早期就捕获了大部分代码相关性问题；?识别并消除源代码、二进制代码或字节代码中的漏洞；?支持27种编程语言中815种的漏洞类别，并跨越超过100万个独立的API；?在OWASP1.2b基准测验中，真实阳性率为100%，证明了高度的准确性。2、CI/CD管道中的安全自动化?识别和优先处理构成威胁的漏洞，快速降低风险；?与CI/CD工具充分集成，包括Jenkins，ALMOctane，Jira，AtlassianBamboo，AzureDevOps，Eclipse和MicrosoftVisualStudio等；?实时审查扫描结果并获得访问建议，fortify扫描，通过代码行导航更快地发现漏洞和与审计开展协作。3、节约开发时间和成本?嵌入SDLC后，开发时间和成本平均降低25%，且早期修复漏洞成本比制作/发布后阶段低30倍；?发现漏洞数是原来的2倍，源代码检测工具fortify扫描，误报率降低95%；（数据来源：《MicroFocusFortify2017商业价值可持续交付》)?通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。Fortify编写自定义规则原理要编写有效的自定义规则，就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数，有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言，都有其庞大的开源框架和lib库。所以自定义规则，既要精通安全漏洞原理，又要熟练掌握一门或几门开发语言，源代码审计工具fortify扫描，一般自定义规则用的比较多的语言有java、C/C++、PHP等。其次必须识别与安全相关的函数，并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系，使用自定义规则编辑器来创建规则就相对简单了。源代码审计工具fortify扫描-fortify扫描-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业软件等行业。，在苏州工业园区新平街388号的名声不错。欢迎来电垂询，联系人：华克斯。)