Fortify “Source Code Viewer(源代码查看器)”面板:
“Source Code Viewer(源代码查看器)”面板显示了与在“Issues(问题)”面板中选择的问题相关联的代码段。如果“Analysis Trace(分析跟踪)”面板中的多个节点代表一个问题,则“Source Code Viewer(源代码查看器)”面板会显示与所选节点相关联的代码。
在“Source Code Viewer(源代码查看器)”面板中,您可以使用代码辅助功能创建自定义规则和新问题,如下所示:
要为某个函数创建规则,请将光标放在该函数中,单击鼠标右键,然后选择 Write Rule for This Function(为此函数编写规则)。
要创建新问题,请将光标放在该函数中,单击鼠标右键,然后选择 Create New Issue(创建新问题)。
Fortify SCA的十一大优势:
1.FortifySCA支持系统平台是的,能扫描的语言种类是的。
2.FortifySCA能面地(五个方面)分析源代码中存在的问题。
3.FortifySCA能够扫描出来300多种漏洞,业界中是的。
4.FortifySCA的测试速度是比较快的,约15分种1万行。
5.FortifySCA提供了强大的审计平台和详细的漏洞信息。
6.FortifvSCA提供了漏洞的详细说明和相应的修复建议。
7.FortifySCA提供了中文详细说明和相应的修复建议信息。
8.FortifySCA支持成熟的IDE开发环境,如EclipseVisual Studio
9.FortifySCA操作简单,使用方便,易用。
10.FortifySCA提供多种漏洞报表。
11.FortifvSCA获得过许多国际大奖,目前是同类产品
Fortify SCA扫描结果展示
2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描,并经过开发人员或安全人员审计,那么历史的审计信息可以沿用,每个漏洞都有一个编号instance ID,已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。
3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向,但这个方式需要大量可靠的漏洞审计样本,如果样本少的话会很难操作。