新一代 Fortify 發(fā)布，搶先部署等你來(lái)！

此次更新的軟件服務(wù)包括：Static Code Analyzer、WebInspect、Software Security Center、Software Analysis。其中 Fortify Static Code Analyzer提供靜態(tài)代碼分析器（SAST），F(xiàn)ortify WebInspect是動(dòng)態(tài)應(yīng)用安全測(cè)試軟件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根據(jù)應(yīng)用需求調(diào)整掃描深度，以更好地控制靜態(tài)測(cè)試的速度和準(zhǔn)確性。通過(guò) CI 撥號(hào)設(shè)置將掃描速度提高50%，并在需要時(shí)保存深度 SAST 掃描。新增功能如下：

1. 增加3級(jí)和4級(jí)支持

2. 將中間顯影掃描速度提高50%（減少報(bào)告問(wèn)題）

3. 減少 Java 和 C/C++ 等類型語(yǔ)言的掃描時(shí)間

4. 4級(jí)支持提供完整掃描

Fortify編寫自定義規(guī)則原理

要編寫有效的自定義規(guī)則，就必須熟悉一直的安全漏洞類別和通常與他們相關(guān)的函數(shù)類型。深入理解各類經(jīng)常出現(xiàn)在特定類型漏洞的函數(shù)，有利于在編寫自定義規(guī)則過(guò)程中能夠準(zhǔn)確地找到與安全相關(guān)的函數(shù)。任何一門語(yǔ)言，都有其龐大的開源框架和lib庫(kù)。所以自定義規(guī)則，既要精通安全漏洞原理，又要熟練掌握一門或幾門開發(fā)語(yǔ)言，一般自定義規(guī)則用的比較多的語(yǔ)言有java、C/C++、PHP等。其次必須識(shí)別與安全相關(guān)的函數(shù)，并熟悉這些函數(shù)的特性以此來(lái)確定能夠體現(xiàn)各個(gè)函數(shù)具體行為和與之相關(guān)的漏洞類別的正確規(guī)則形式。一旦確定好了這種聯(lián)系，使用自定義規(guī)則編輯器來(lái)創(chuàng)建規(guī)則就相對(duì)簡(jiǎn)單了。

Fortify代碼掃描使用教程

1、進(jìn)入Fortify安裝目錄，再進(jìn)入bin目錄，雙擊d啟動(dòng)程序

2、打開掃描窗口，點(diǎn)擊Scan Java Project

3、選擇要掃描的項(xiàng)目目錄，點(diǎn)擊確定按鈕

4、彈出java代碼版本選擇窗口，選擇版本后，點(diǎn)擊OK

5、彈出審計(jì)向?qū)Т翱?，點(diǎn)擊Scan按鈕開始掃描

6、掃描開始，等待掃描結(jié)束，等待時(shí)間根據(jù)項(xiàng)目大小而定，可能時(shí)間會(huì)很長(zhǎng)

7、掃描結(jié)束后，顯示掃描結(jié)果。

Fortify SCA基本功能

3、必須支持以下編程語(yǔ)言,包括,C,C++,C#, Flex/Acti0nscript, Java,

Javascript/AJAX, JSP, Objective

C,PL/SQL,PHP,T-SQL,VB.NET,VBscript,VB6,XML/HTML，Python, ColdFusion,

COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等語(yǔ)言。

4、必須支持工具的IDE集成，如：Visual Studio2019/2017/2015、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse

等開發(fā)工具。

5、需支持部署在多種操作系統(tǒng)，即可以安裝在所有主流操作系統(tǒng)中，如：Windows、Linux、MacOS等。

6、工具的技術(shù)達(dá)到水平和地位，在的IT研究咨詢機(jī)構(gòu)Gartner的報(bào)告中，必須位于魔力象限的象限業(yè)界地位（提供證明材料）。

7、工具支持自動(dòng)檢測(cè)版本更新，漏洞規(guī)則庫(kù)支持在線定期自動(dòng)更新，可以在線和離線兩種方式進(jìn)行升級(jí)更新。

8、測(cè)試、掃描速度快。如測(cè)試速度不低于1萬(wàn)行代碼/分鐘?？梢噪S著CPU核數(shù)和內(nèi)存的增加大幅提高測(cè)試速度。

9、提供靈活的使用分析方式，如IDE集成分析、命令行分析、審計(jì)控制臺(tái)分析等。