源代码扫描工具fortify-华克斯(商家)

fortify常见问题解决方法

内存不足问题

在应用fortify sca实施源代码扫描过程中内存不足是分析器（source---yzer）经常报出的一类问题，如下：

扫描过程中：

1、com.fortify.sca.---yzer.abortedexception: there is not enough memory available

2、to complete ---ysis.  for details on --- more memory available；

there were 3 problems with insufficient memory. results may be incomplete.

因此，fortify，我们必须对jvm参数进行调整，增加虚拟器内存大小。

（1）确认安装64位的fortify sca程序；（这是一个众所周知的jvm问题，源代码扫描工具fortify，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨的jre目录（就算你安装了64位的fortify sca程序，该程序默认的jre仍然是32位的）；

fortify sca覆盖规则

以下演示覆盖一个秘钥硬编码的规则：

还是以fortify安装目录下自带的php示例代码(samples﹨basic﹨php)为例

由于没有加密机和密码托管平台，数据库密码只能明文写在代码或配置文件里，怎么不让fortify重复报出这种问题呢？

写一条新规则覆盖这个id的规则，源代码审计工具fortify，如下xml：

---一个不会用到的保存秘钥的变量名pasword，覆盖了这条规则

fortify system命令执行检测

除了使用 dataflowsourcerule 、dataflowsinkrule 等规则来定义污点---相关的属性外，fortify还支持使用 characterizationrule 来定义污点---相关的特性。

fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗 structural tree，源代码审计工具fortify，然后扫描的时候使用 structural ---yzer 来解析 structuralrule ，蕞后输出匹配的代码。

下面以一个简单的示例看看 structural tree 的结构，示例代码如下

源代码扫描工具fortify-华克斯(商家)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业，公司秉承“诚信经营，用心服务”的理念，为您提供---的产品和服务。欢迎来电咨询！联系人：华克斯。

     联系我们时请一定说明是在100招商网上看到的此信息，谢谢！
     本文链接：https://tztz192713a1.zhaoshang100.com/zhaoshang/285058363.html
     关键词：