源代碼檢測工具fortify掃描-華克斯-fortify掃描

Fortify SCA 優(yōu)勢

1、 掃描快又準(zhǔn)

? 在開發(fā)早期就捕獲了大部分代碼相關(guān)性問題；

? 識別并消除源代碼、二進(jìn)制代碼或字節(jié)代碼中的漏洞；

? 支持 27 種編程語言中 815 種的漏洞類別，并跨越超過 100 萬個(gè)獨(dú)立的 API；

?在 OWASP 1.2b 基準(zhǔn)測驗(yàn)中，源代碼掃描工具fortify掃描，真實(shí)陽性率為100%，證明了高度的準(zhǔn)確性。

2、CI/CD 管道中的安全自動化

? 識別和優(yōu)先處理構(gòu)成威脅的漏洞，快速降低風(fēng)險(xiǎn)；

? 與CI/CD 工具充分集成，包括 Jenkins，源代碼檢測工具fortify掃描， ALM Octane， Jira， Atlassian Bamboo， Azure DevOps， Eclipse 和 Microsoft Visual Studio 等；

? 實(shí)時(shí)審查掃描結(jié)果并獲得訪問建議，通過代碼行導(dǎo)航更快地發(fā)現(xiàn)漏洞和與審計(jì)開展協(xié)作。

3、節(jié)約開發(fā)時(shí)間和成本

? 嵌入 SDLC 后，開發(fā)時(shí)間和成本平均降低 25%，且早期修復(fù)漏洞成本比制作/發(fā)布后階段低 30 倍；

? 發(fā)現(xiàn)漏洞數(shù)是原來的 2 倍，誤報(bào)率降低 95%；（數(shù)據(jù)來源：《Micro Focus Fortify 2017 商業(yè)價(jià)值可持續(xù)交付》)

? 通過在開發(fā)人員工作時(shí)對他們進(jìn)行靜態(tài)應(yīng)用安全測試培訓(xùn)，滿足安全編碼實(shí)踐要求。

Fortify SCA 主要特性

4、 Audit Assistant 的機(jī)器學(xué)習(xí)能力，fortify掃描，為您的企業(yè)識別相關(guān)度的漏洞并確定優(yōu)先級，從而節(jié)省人工審計(jì)時(shí)間。

應(yīng)用機(jī)器學(xué)習(xí)的自動化減少了人工審計(jì)時(shí)間，以擴(kuò)大靜態(tài)應(yīng)用安全性測試的 ROI。好處在于：

在幾分鐘內(nèi)提供自動化的審計(jì)結(jié)果，地減少審計(jì)人員的工作量，以置信度對問題進(jìn)行優(yōu)先排序，在整個(gè)項(xiàng)目中創(chuàng)建準(zhǔn)確和一致的審計(jì)結(jié)果；

以 DevOps 的速度進(jìn)行審計(jì)，整合 SCA 以構(gòu)建服務(wù)器、源代碼管理服務(wù)器和更頻繁地掃描得出即時(shí)結(jié)果成為可能；

除此外，還可以減少需要深度人工檢查的問題數(shù)量；及時(shí)發(fā)現(xiàn)相關(guān)問題，及時(shí)排除誤報(bào)；利用現(xiàn)有資源擴(kuò)展應(yīng)用安全等等

5、 ScanCentral 可支持服務(wù)器上的輕量級打包，并提供可擴(kuò)展的、集中的 Fortify 掃描基礎(chǔ)設(shè)施，以滿足軟件安全中心不斷增長的現(xiàn)代化開發(fā)需求。

6、 調(diào)整掃描以實(shí)現(xiàn)所需的靈活性，并可通過內(nèi)部部署、按需部署或混合方式進(jìn)行擴(kuò)展等。

Fortify SCA快速入門

規(guī)則庫導(dǎo)入：

所有的掃描都是基于規(guī)則庫進(jìn)行的，因此，建立掃描任務(wù)的前提條件就是你需要把檢查規(guī)則拷貝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夾下，拷貝后便為掃描建立了默認(rèn)的規(guī)則庫。另外，你也可以自定義規(guī)則，這些內(nèi)容將會在以后逐一介紹。

建立和執(zhí)行掃描任務(wù)：

我們分別通過Java、.Net C#和C/C++三類不同編程語言項(xiàng)目來介紹如何快速建立和執(zhí)行掃描任務(wù)：

Java項(xiàng)目：

Fortify SCA對于Java項(xiàng)目的支持是做得蕞好的，建立掃描入口的路徑選擇非常多，常用的方法是直接執(zhí)行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨d，啟動審計(jì)工作臺就可以直接對Java項(xiàng)目進(jìn)行靜態(tài)掃描；另外也可以使用Fortify SCA插件，集成嵌入Eclipse來完成開發(fā)過程中的實(shí)時(shí)掃描；當(dāng)然，你也可以使用原生的命令行工具完成全部工作，我們這里介紹一個(gè)通用的方法，即利用ScanWizard工具導(dǎo)入你的源碼項(xiàng)目，通過一系列設(shè)置后，會生成一個(gè)批處理腳本文件，通過批處理代替手工輸入執(zhí)行命令進(jìn)行測試。

使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨d啟動ScanWizard工具：