Fortify SCA如何使用!
安装fortify之后,打开
界面:
选择扫描
他问要不要更新? 如果你购买了可以选择YES。
选择之后出现如下界面
浏览意思是:扫描之后保存的结果保存在哪个路径。
然后点击下一步。
参数说明:
1、enable clean :把上一次的扫描结果清楚,除非换一个build ID,源代码检测工具fortify工具,不然中间文件可能对下一次扫描产生影响。
2、enable translation: 转换,把源码代码转换成nst文件
3、64: 是扫描64位的模式,sca默认扫描是32位模式。
4、-Xmx4000m:4000M大概是4G,制定内存数-Xmx4G :也可以用G定义这个参数建议加
5、-encoding: 定制编码,UTF-8比较全,工具解析代码的时候字符集转换的比较好,源代码检测工具fortify服务商,建议加,如果中文注释不加会是乱码。
6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上,不建议加,这样代码显示不全。
Fortify SCA扫描结果展示
2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描,并经过开发人员或安全人员审计,那么历史的审计信息可以沿用,每个漏洞都有一个编号instance ID,已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。
3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向,但这个方式需要大量可靠的漏洞审计样本,如果样本少的话会很难操作。
Micro Focus Fortify 系列解决方案
1、用于静态应用安全测试(SAST)的 Fortify SCA:在开发过程中识别漏洞,河南源代码检测工具fortify,并在蕞容易修复且成本蕞低的时候优先处理那些关键问题。扫描结果存储在 Fortify SSC 中。
2、用于动态应用安全测试(DAST)的 Fortify WebInspect:识别运行中的网络应用程序和网络服务的安全漏洞,并对其进行优先级排序;集成交互式应用程序安全测试(IAST),扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 Fortify SSC 中。
3、Fortify 软件安全中心(SSC):作为 AppSec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式,以分类、跟踪、验证和管理软件安全活动。
4、“应用安全即服务” Fortify on Demand:通过简单而灵活的方法,快速、准确地测试软件的安全性,无需额外资源,也无需安装和管理任何软件。
河南源代码检测工具fortify-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念,拥有一支高素质的员工队伍,力求提供更好的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。华克斯——您可信赖的朋友,公司地址:苏州工业园区新平街388号,联系人:华克斯。温馨提示:以上是关于河南源代码检测工具fortify-苏州华克斯公司的详细介绍,产品由苏州华克斯信息科技有限公司为您提供,如果您对苏州华克斯信息科技有限公司产品信息感兴趣可以联系供应商或者让供应商主动联系您 ,您也可以查看更多与行业专用软件相关的产品!
免责声明:以上信息由会员自行提供,内容的真实性、准确性和合法性由发布会员负责,天助网对此不承担任何责任。天助网不涉及用户间因交易而产生的法律关系及法律纠纷, 纠纷由您自行协商解决。
风险提醒:本网站仅作为用户寻找交易对象,就货物和服务的交易进行协商,以及获取各类与贸易相关的服务信息的平台。为避免产生购买风险,建议您在购买相关产品前务必 确认供应商资质及产品质量。过低的价格、夸张的描述、私人银行账户等都有可能是虚假信息,请采购商谨慎对待,谨防欺诈,对于任何付款行为请您慎重抉择!如您遇到欺诈 等不诚信行为,请您立即与天助网联系,如查证属实,天助网会对该企业商铺做注销处理,但天助网不对您因此造成的损失承担责任!
联系:tousu@tz1288.com是处理侵权投诉的专用邮箱,在您的合法权益受到侵害时,欢迎您向该邮箱发送邮件,我们会在3个工作日内给您答复,感谢您对我们的关注与支持!