Fortify SAST 新增语言支持
提供27种以上的主要语言及其框架的准确支持和敏捷更新。之后将添加更多新的语言版本,从根本上改进、简化工作方式。以下语言更新已添加到 Fortify Static 代码分析器:
.NET
增加对 .NET 5.0、C# 9、ASP.NET Blazor 语言和框架的支持。
MSBuild Support Update
增加对16.8和16.9版本的支持。
Go
增加对1.15和1.16版本的支持;增加对 GOPROXY 环境变量的支持。
Java
更新 JSP 翻译以减少误报;改进字节码分析。
JavaScript
增加对 TypeScript 4.1及Angular 10、11语言和框架的支持。
Kotlin
增加对 Kotlin 1.4.20版本的支持。
PHP
增加对 PHP 7.2、7.3、7.4及8.0版本的支持。
Python
增加对Python 3.9、Django 3.1语言和框架的支持。
Swift/Obj-C
增加对 Xcode 12.4版本的支持。
Operating Systems (Linux)
增加对以下 Linux 服务器的支持:1. SUSE Linux Enterprise Server 15
2. Red Hat Enterprise Linux 8.2
3. CentOS Linux 7.6-1810 and 8.2-2004
4. Ubuntu 20.04.1 LTS
Micro Focus Visual COBOL (Technology Preview)
增加对 Micro Focus Visual COBOL 6.0.版本的支持。
C/C++ (Technology Preview)
使用新的基于 Clang 的翻译改进对 C++11 结构的支持。
Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,源代码审计工具fortify代理商,就在向导生成的xml基础上进一步更新吧。
Fortify SCA快速入门
规则库导入:
所有的扫描都是基于规则库进行的,因此,源代码审计工具fortify代理商,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,这些内容将会在以后逐一介绍。
建立和执行扫描任务:
我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
Java项目:
Fortify SCA对于Java项目的支持是做得蕞好的,建立扫描入口的路径选择非常多,常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨auditworkbench.cmd,启动审计工作台就可以直接对Java项目进行静态扫描;另外也可以使用Fortify SCA插件,源代码扫描工具fortify代理商,集成嵌入Eclipse来完成开发过程中的实时扫描;当然,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,即利用ScanWizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理脚本文件,通过批处理代替手工输入执行命令进行测试。
使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨ScanWizard.cmd启动ScanWizard工具:
fortify代理商-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业软件中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!
