新一代 Fortify 發(fā)布，搶先部署等你來！

此次更新的軟件服務(wù)包括：Static Code Analyzer、WebInspect、Software Security Center、Software Analysis。其中 Fortify Static Code Analyzer提供靜態(tài)代碼分析器（SAST），F(xiàn)ortify WebInspect是動態(tài)應(yīng)用安全測試軟件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根據(jù)應(yīng)用需求調(diào)整掃描深度，以更好地控制靜態(tài)測試的速度和準(zhǔn)確性。通過 CI 撥號設(shè)置將掃描速度提高50%，并在需要時保存深度 SAST 掃描。新增功能如下：

1. 增加3級和4級支持

2. 將中間顯影掃描速度提高50%（減少報告問題）

3. 減少 Java 和 C/C++ 等類型語言的掃描時間

4. 4級支持提供完整掃描

Fortify編寫自定義規(guī)則原理

要編寫有效的自定義規(guī)則，就必須熟悉一直的安全漏洞類別和通常與他們相關(guān)的函數(shù)類型。深入理解各類經(jīng)常出現(xiàn)在特定類型漏洞的函數(shù)，有利于在編寫自定義規(guī)則過程中能夠準(zhǔn)確地找到與安全相關(guān)的函數(shù)。任何一門語言，都有其龐大的開源框架和lib庫。所以自定義規(guī)則，既要精通安全漏洞原理，又要熟練掌握一門或幾門開發(fā)語言，一般自定義規(guī)則用的比較多的語言有java、C/C++、PHP等。其次必須識別與安全相關(guān)的函數(shù)，并熟悉這些函數(shù)的特性以此來確定能夠體現(xiàn)各個函數(shù)具體行為和與之相關(guān)的漏洞類別的正確規(guī)則形式。一旦確定好了這種聯(lián)系，使用自定義規(guī)則編輯器來創(chuàng)建規(guī)則就相對簡單了。

Fortify代碼掃描使用教程

1、進入Fortify安裝目錄，再進入bin目錄，雙擊d啟動程序

2、打開掃描窗口，點擊Scan Java Project

3、選擇要掃描的項目目錄，點擊確定按鈕

4、彈出java代碼版本選擇窗口，選擇版本后，點擊OK

5、彈出審計向?qū)Т翱冢c擊Scan按鈕開始掃描

6、掃描開始，等待掃描結(jié)束，等待時間根據(jù)項目大小而定，可能時間會很長

7、掃描結(jié)束后，顯示掃描結(jié)果。

Fortify SCA基本功能

3、必須支持以下編程語言,包括,C,C++,C#, Flex/Acti0nscript, Java,

Javascript/AJAX, JSP, Objective

C,PL/SQL,PHP,T-SQL,VB.NET,VBscript,VB6,XML/HTML，Python, ColdFusion,

COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等語言。

4、必須支持工具的IDE集成，如：Visual Studio2019/2017/2015、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse

等開發(fā)工具。

5、需支持部署在多種操作系統(tǒng)，即可以安裝在所有主流操作系統(tǒng)中，如：Windows、Linux、MacOS等。

6、工具的技術(shù)達到水平和地位，在的IT研究咨詢機構(gòu)Gartner的報告中，必須位于魔力象限的象限業(yè)界地位（提供證明材料）。

7、工具支持自動檢測版本更新，漏洞規(guī)則庫支持在線定期自動更新，可以在線和離線兩種方式進行升級更新。

8、測試、掃描速度快。如測試速度不低于1萬行代碼/分鐘。可以隨著CPU核數(shù)和內(nèi)存的增加大幅提高測試速度。

9、提供靈活的使用分析方式，如IDE集成分析、命令行分析、審計控制臺分析等。