fortify sca 主要特性
4、 audit assistant 的机器学习能力,为您的企业识别相关度的漏洞并确定优先级,从而节省人工审计时间。
应用机器学习的自动化减少了人工审计时间,以扩大静态应用安全性测试的 roi。好处在于:
在几分钟内提供自动化的审计结果,地减少审计人员的工作量,以置信度对问题进行优先排序,在整个项目中创建准确和一致的审计结果;
以 devops 的速度进行审计,整合 sca 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能;
除此外,还可以减少需要---人工检查的问题数量;及时发现相关问题,及时排除---;利用现有资源扩展应用安全等等
5、 scancentral 可支持服务器上的轻量级打包,并提供可扩展的、集中的 fortify 扫描基础设施,fortify规则,以满足软件安全中心不断增长的现代化开发需求。
6、 调整扫描以实现所需的灵活性,并可通过内部部署、按需部署或混合方式进行扩展等。
fortify 审计
fortify扫描后生成的fpr文件,源代码审计工具fortify规则,就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。
使用fortify audit workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项,源代码扫描工具fortify规则,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为fortify默认的解析字节码是gbk,可以在选中代码文件后,---edit->;set encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,源代码检测工具fortify规则,协助安全---确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是---,可以右键风险项,选择hide in awb,即可隐藏---问题。
然后是生成报告,我们可以选择生成两种报告:
birt是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项,是否显示。
legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
fortify “project summary(项目摘要)”面板:
“project summary(项目摘要)”面板提供了关于扫描的详细信息。
“summary(摘要)”选项卡
“certification()”选项卡
“build information(build 信息)”选项卡
“---ysis information(分析信息)”选项卡
项目摘要面板
“summary(摘要)”选项卡:
“summary(摘要)”选项卡显示了关于本项目的信息。
“certification()”选项卡:
“certification()”选项卡显示了结果状态。结果用于检查 fpr 文件是否与 fortify sca 所生成的文件一致。
源代码审计工具fortify规则-fortify规则-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情,华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场,衷心希望能与社会各界合作,共创成功,共创。相关业务欢迎垂询,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/280559825.html
关键词:
滇公网安备 53011202000392号