Fortify SCA 主要特性

4、 Audit Assistant 的機(jī)器學(xué)習(xí)能力，為您的企業(yè)識(shí)別相關(guān)度的漏洞并確定優(yōu)先級(jí)，從而節(jié)省人工審計(jì)時(shí)間。

應(yīng)用機(jī)器學(xué)習(xí)的自動(dòng)化減少了人工審計(jì)時(shí)間，以擴(kuò)大靜態(tài)應(yīng)用安全性測(cè)試的 ROI。好處在于：

在幾分鐘內(nèi)提供自動(dòng)化的審計(jì)結(jié)果，地減少審計(jì)人員的工作量，以置信度對(duì)問題進(jìn)行優(yōu)先排序，在整個(gè)項(xiàng)目中創(chuàng)建準(zhǔn)確和一致的審計(jì)結(jié)果；

以 DevOps 的速度進(jìn)行審計(jì)，整合 SCA 以構(gòu)建服務(wù)器、源代碼管理服務(wù)器和更頻繁地掃描得出即時(shí)結(jié)果成為可能；

除此外，還可以減少需要深度人工檢查的問題數(shù)量；及時(shí)發(fā)現(xiàn)相關(guān)問題，及時(shí)排除誤報(bào)；利用現(xiàn)有資源擴(kuò)展應(yīng)用安全等等

5、 ScanCentral 可支持服務(wù)器上的輕量級(jí)打包，并提供可擴(kuò)展的、集中的 Fortify 掃描基礎(chǔ)設(shè)施，以滿足軟件安全中心不斷增長(zhǎng)的現(xiàn)代化開發(fā)需求。

6、 調(diào)整掃描以實(shí)現(xiàn)所需的靈活性，并可通過內(nèi)部部署、按需部署或混合方式進(jìn)行擴(kuò)展等。

Fortify編寫自定義規(guī)則原理

要編寫有效的自定義規(guī)則，就必須熟悉一直的安全漏洞類別和通常與他們相關(guān)的函數(shù)類型。深入理解各類經(jīng)常出現(xiàn)在特定類型漏洞的函數(shù)，有利于在編寫自定義規(guī)則過程中能夠準(zhǔn)確地找到與安全相關(guān)的函數(shù)。任何一門語(yǔ)言，都有其龐大的開源框架和lib庫(kù)。所以自定義規(guī)則，既要精通安全漏洞原理，又要熟練掌握一門或幾門開發(fā)語(yǔ)言，一般自定義規(guī)則用的比較多的語(yǔ)言有java、C/C++、PHP等。其次必須識(shí)別與安全相關(guān)的函數(shù)，并熟悉這些函數(shù)的特性以此來(lái)確定能夠體現(xiàn)各個(gè)函數(shù)具體行為和與之相關(guān)的漏洞類別的正確規(guī)則形式。一旦確定好了這種聯(lián)系，使用自定義規(guī)則編輯器來(lái)創(chuàng)建規(guī)則就相對(duì)簡(jiǎn)單了。

Fortify安裝使用簡(jiǎn)易教程

Fortify SCA是一個(gè)靜態(tài)源代碼安全測(cè)試工具。它通過內(nèi)置的五大主要分析引擎對(duì)源代碼進(jìn)行靜態(tài)的分析和檢測(cè)，分析的過程中與其特有的軟件安全漏洞規(guī)則集進(jìn)行地匹配、查找。

好安裝包后，雙擊安裝應(yīng)用程序

點(diǎn)擊Next進(jìn)行下一步

接受協(xié)議，點(diǎn)擊Next

選擇安裝位置或者默認(rèn)位置，點(diǎn)擊Next

勾選你要安裝的插件，點(diǎn)擊Next下一步

選擇cense，點(diǎn)擊下一步

選擇更新服務(wù)器，這里可以不用填寫

Fortify審計(jì)界面概述

下圖顯示了“Auditing（審計(jì)）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下幾個(gè)面板組成：

“Issues（問題）”面板

“Analysis Trace（分析跟蹤）”面板

“Project Summary（項(xiàng)目摘要）”面板

“Source Code Viewer（源代碼查看器）”面板

“Function（函數(shù)）”面板

“Issue Auditing（問題審計(jì)）”面板

“Issues（問題）”面板

使用 Issues（問題）面板，您可以對(duì)希望審計(jì)的問題進(jìn)行分組和選擇。該面板由下列元素組成：

“Filter Set（過濾器組）”下拉列表

“Folders（文件夾）”選項(xiàng)卡

Group by（分組方式）

“Search（搜索）”框