Fortify自定义规则笔记(一)

最新推荐文章于 2025-04-23 10:46:38 发布
最新推荐文章于 2025-04-23 10:46:38 发布
阅读量1.9w 收藏 29
点赞数 8
分类专栏: 静态分析 文章标签: Fortify 自定义规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liweibin812/article/details/87274054
版权

一. Fortify SCA 自定义规则介绍

Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使得静态分析的准确度和高效性。

默认情况下, Fortify SCA 使用安装的安全编码规则包用来检查源代码,并定义一系列可能出现的问题,如可被攻击者利用的安全漏洞和不良的编码缺陷。
安全编码规则包中的规则分析了受支持语言的核心和扩展的 API 包中的函数,并将分析结果记录在Fortify SCA 中。每一个问题的解释包含了对问题的描述和建议的解决方案,以便更好地解决程序中的漏洞和缺陷。
您可以通过创建自定义规则包来准确地分析特定的应用程序 (其中包含有关源代码元素附加信息的规则),验证专门的安全规则,以及细化 Fortify SCA 所报告的问题。

二. 编写自定义规则原理

要编写有效的自定义规则,就必须熟悉已知的安全漏洞类别和通常与它们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数,有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。相对来说寻找与安全相关的函数往往是比较困难的,因为任何一门语言,都有其庞大的开源框架和lib库。所以自定义规则,就需要即精通安全漏洞原理,又要熟练掌握一门或几门开发语言。一般自定义规则用的比较多的语言有  java、C/C++、PHP等。

其次必须识别与安全相关的函数,并熟悉这些函

最低0.47元/天 解锁文章
Fortify自定义规则笔记()
liweibin812的博客
02-15 6287
对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞类型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞,和降低误报率会越来越低,定程度上可以智能化的扫描系统。
OpenHarmony内核源码分析(忍者ninja篇) | 都忍者了能不快吗
xianglizaibie的博客
02-25 353
rule cxxdeps = gccrule alinkrule linkrule stamprule asmdeps = gccrule ccrule copy注意这些规则中的描述字段,其后面的内容会打到控制台上,每条输出都是次build,如图所示,通过这些描述就知道使用了什么规则去构建.
fortify linux自定义规则
qq_55814775的博客
10-17 345
好像是要在ExternalMetadata这个文件夹下创建规则,原话是。需要在Core/config/rules文件夹下编写规则吗。还在探索中........
Fortify SCA 20.1.1:代码审计的必备工具
最新发布
weixin_32251525的博客
04-23 637
在当今快速发展的IT行业中,软件开发的生命周期对于质量和安全性有着严格的要求。静态代码分析作为提高软件质量的关键环节,已成为大多数软件开发团队不可或缺的部分。HP Enterprise(惠普企业)的Fortify Static Code Analyzer(SCA)是这领域的佼佼者,它提供了系列自动化工具,帮助开发者和安全分析师识别和解决代码中的安全漏洞和代码质量问题。本章将概述Fortify SCA 20.1.1的基本概念和重要性。
fortify rules
08-31
1. fortify 2020 检测规则 2. 放入\Fortify_SCA_and_Apps_\Core\config\rules下面就可以使用
fortify 2018rules.zip
09-20
fortify 2018年的规则库,有需要的朋友自行下载。
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
Fortify SCA rules 2018最新版扫描规则
11-20
Fortify SCA rules 2018最新版扫描规则, 下载可以直接导入, 并提供报告输出, 安全可靠.
【MATLAB代码版本控制】:专家级的版本管理策略
![MATLAB/Simulink学习笔记]...版本控制是种记录文件历史版本并允许人们协作的系统,它可以记录文件的每次修改历史,以及谁、在何时做出了何种
【VSCode终端安全指南】:保护代码仓库的命令行策略
!...# 1....VSCode不仅因其灵活和可扩展性而受到青睐,而且作为个强大平台,它的安全性问题也逐渐成为关注焦点。本章将概述VSCode终端安全的重要性,并探讨其在开发实践中的关键作用。 ## 1.1 终端安
fortify 5.1 SCA rules
06-30
fortify 5.1 SCA rules 规则
Fortify安全代码规则编写指南.rar
03-28
Fortify 安全代码使用指南 Chapter 1: 理解安全编码规则 这章节包括以下标题: 什么是安全编码规则? 什么是Secure Coding Rulepacks?什么是自定义规则?什么是漏洞类别?什么是规则类型 什么是安全编码规则?
fortify规则库rules_20170905.zip
05-27
core_abap.bin core_abap_preview.bin core_actionscript.bin core_android.bin
Fortify SCA 代码规则库-支持Java
02-27
Fortify SCA 代码规则库-支持Java,静态代码扫描 Fortify在线规则库网址,符合代码安全的编码参考 Fortify SCA Java
fortify_rules_2019.12.25.zip
12-25
2019.12.25更新的规则,包含核心规则,可以扫描java/php/.net/python/c/cpp/vb/sql等,需要的自行下来
fortify扫描工具
xigema521的专栏
04-09 7772
fortify扫描工具 fortify扫描工具有提供UI客户端用于扫描操作,但是性能很差。 同时用UI客户端扫描的时候,经常会卡在某个进度的,而在CMD输入如下执行命令则会提速很多,而且很少有卡死的情况,缺点是生成的文件位置不方便配置 如下是扫描步骤: 1、首先清除上扫描的缓存: sourceanalyzer -b SCG-AuthCenter -clean 2、扫描、编译源码,需
2022年Fortify中文规则库-rules版本2022.1.1.0007
gitblog_09761的博客
09-06 741
2022年Fortify中文规则库-rules版本2022.1.1.0007 项目地址:https://gitcode.com/open-source-toolkit/786f7 欢迎使用Fortify中文规则库升级包 本仓库提供了2022年Fortify中文规则库的最新更新,版本号为2022.1.1.0007。此资源旨在帮助用户提升其Fortify应用程序安全扫描的精确度与覆盖范围,特别是对于需...
Fortify代码扫描工具
热门推荐
曰业而安的博客
12-26 1万+
Fortify介绍 Fortify款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义系列...
fortify 自定义规则
04-04
### 如何在Fortify中创建或应用自定义规则 #### 创建自定义规则 为了在Fortify中创建自定义规则,首先需要将编写好的规则包放置于特定路径下以便其生效。通常情况下,默认位置位于 `${FortifyInstall}/Core/config/customrules/` 文件夹内[^1]。 接着,在构建规则之前,必须清楚地理解并识别那些可能引发安全隐患的函数及其特性。这步骤可以通过审查源代码或者查阅API文档完成。只有当明确了这些函数的行为模式以及它们可能导致的安全漏洞类别之后,才能进步设计出精确反映上述特性的规则形式[^2]。 旦完成了前期分析工作,则可以利用Fortify提供的自定义规则编辑器来进行实际操作。此阶段涉及的具体步骤虽然未被详尽描述,但由于已经建立了清晰的功能映射关系,因此整体流程会显得较为直观简易。 #### 应用已有的自定义规则 对于希望直接运用现有的定制化方案而非重新开发新规则的情况而言,可通过多种方式实现这目标: - **导入官方提供或其他来源的规则集**:无论是通过客户门户获取还是其他合法渠道获得的规则集合都可以轻松加载到不同版本的工作环境中去。例如,在 `Fortify Audit Workbench`, `Fortify Eclipse Complete Plugin` 或者 `Fortify Extension for Visual Studio` 这些平台里均具备相应的功能支持此类动作执行[^4]。 - **针对具体项目实施扫描作业**:如果目的是要对某个具体的 Java 工程进行安全性评估的话,那么只需要启动 Fortify 软件本身,并按照提示指引选取对应的 Java 类型工程对象再附加必要的配置参数即可开始全面细致化的静态代码检测活动[^5]。 ```java // 示例代码片段展示如何调用可能存在风险的方法 public void unsafeMethod(String input){ Runtime.getRuntime().exec(input); // 此处存在命令注入的风险 } ``` 以上示例展示了潜在不安全方法的应用场景之——未经验证即执行外部输入字符串作为操作系统指令的部分,这是典型的命令注入隐患表现形式。通过对这类典型例子的学习研究可以帮助我们更好地制定针对性强的有效防御措施及相关联检视准则。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值