fortify報(bào)告中文插件-蘇州華克斯公司

Fortify常見問題解決方法

.Net環(huán)境匹配問題

由于Fortify SCA版本對于支持.Net環(huán)境的版本有限，比如蕞大支持到Microsoft SDK 7.0A

版本的SDK，fortify報(bào)告中文插件，如下腳本：

1、echo Searching VS Version....

2、reg QUERY 'HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v7.0A' 2>NUL >NUL

3、IF %ERRORLEVEL%==0 (

4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%

5、echo Found .NET 4.0 setting to VS version 10.0

6、GOTO VSSELECTED

通過Windows注冊表中的SDK信息設(shè)置掃描依賴版本；

而且，源代碼檢測工具fortify報(bào)告中文插件，由于Windows版本和.Net Framework版本的差異，環(huán)境上往往需要自己增加許多配置項(xiàng)，源代碼掃描工具fortify報(bào)告中文插件，蕞常見的配置如下：

（1）SDK版本設(shè)置：

比如是8.1版本的，我們可以修改腳本文件：

reg QUERY 'HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v8.1A' 2>NUL >NUL

（2）ildasm路徑設(shè)置

Unable to locate ildasm是一個常見問題，在轉(zhuǎn)換中沒有尋找到ildasm程序，可以通過以下方法設(shè)置：

1、fortify-perties文件增加一行com.a.IldasmPath=C:﹨Program Files (x86)﹨Microsoft SDKs﹨Windows﹨v8.1A﹨bin﹨NETFX 4.5.1 Tools﹨ildasm（一定是雙斜杠）

Fortify SCA 卸載（一）

About Uninstalling Fortify Static Code Analyzer and Applicati0ns

本節(jié)描述如何卸載增強(qiáng)的靜態(tài)代碼分析器和應(yīng)用程序。可以使用標(biāo)準(zhǔn)安裝向?qū)?，也可以靜默執(zhí)行卸載。還可以在非windows系統(tǒng)上執(zhí)行基于文本的卸載。

本節(jié)包含以下主題:

Uninstalling Fortify Static Code Analyzer and Applicati0ns

Start >Control Panel >Add or Remove Programs.

Fortify SCA and Applicati0ns ， and then click Remove.

系統(tǒng)會提示您是否刪除所有應(yīng)用程序設(shè)置。做以下任何一件事:

單擊Yes刪除與要卸載的Fortify Static Code Analyzer版本相關(guān)的工具的應(yīng)用程序設(shè)置文件夾。未刪除Fortify靜態(tài)代碼分析器(sca)文件夾。

單擊No保留系統(tǒng)上的應(yīng)用程序設(shè)置。

Uninstalling on Other Platforms

位于中的卸載命令:

Unix or Linux Uninstall_FortifySCAandApps.exe

macOS Uninstall_FortifySCAandApps_.app

單擊Yes刪除與要卸載的Fortify Static Code Analyzer版本相關(guān)的工具的應(yīng)用程序設(shè)置文件夾。未刪除Fortify靜態(tài)代碼分析器(sca)文件夾。

單擊No保留系統(tǒng)上的應(yīng)用程序設(shè)置。

Uninstalling Fortify Static Code Analyzer and Applicati0ns Silently

導(dǎo)航到安裝目錄。

進(jìn)行安全掃描_Fortify Sca自定義掃描規(guī)則

前言代碼安全掃描是指在不執(zhí)行代碼的情況下對代碼進(jìn)行評估的過程。代碼安全掃描工具能夠探查大量“if——then——”的假想情況，而不必為所有這些假想情況經(jīng)過必要的計(jì)算來執(zhí)行這些代碼。

那么代碼安全掃描工具到底應(yīng)該怎么使用？以下是參考fortify sca的作者給出的使用場景：

常規(guī)安全問題(如代碼注入類漏洞)這塊，目前的fortify sca規(guī)則存在較多誤報(bào)，源代碼掃描工具fortify報(bào)告中文插件，通過規(guī)則優(yōu)化降低誤報(bào)。而在特定安全問題上，越來越多的合規(guī)要求需要滿足(如等保、國信辦、銀保監(jiān)要求)，自帶的掃描規(guī)則肯定檢測不到這些問題，需要自定義掃描規(guī)則，從合規(guī)的角度來展示安全風(fēng)險(xiǎn)。常規(guī)安全問題誤報(bào)優(yōu)化目前開發(fā)人員反饋蕞多的問題是：代碼安全掃描工具誤報(bào)較多，我們先看下代碼安全安全分析的過程，如下圖示：

fortify報(bào)告中文插件-蘇州華克斯公司由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是一家從事“Loadrunner,Fortify,源代碼審計(jì),源代碼掃描”的公司。自成立以來，我們堅(jiān)持以“誠信為本，穩(wěn)健經(jīng)營”的方針，勇于參與市場的良性競爭，使“Loadrunner,Fortify,Webinspect”品牌擁有良好口碑。我們堅(jiān)持“服務(wù)至上，用戶至上”的原則，使華克斯在行業(yè)軟件中贏得了客戶的信任，樹立了良好的企業(yè)形象。 特別說明：本信息的圖片和資料僅供參考，歡迎聯(lián)系我們索取準(zhǔn)確的資料，謝謝！