Fortify自定义规则笔记(二)

最新推荐文章于 2025-05-07 14:30:52 发布
最新推荐文章于 2025-05-07 14:30:52 发布
阅读量6.2k 收藏 10
点赞数 1
分类专栏: 静态分析 文章标签: Fortify 静态分析 自定义规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liweibin812/article/details/87371750
版权

摘要:

对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞类型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞能力越来越强,误报率会越来越低,一定程度上可以智能化扫描系统。

如下是fortify自定义规则向导中的规则选项:

1) Access Control: Database  Validation Rule
定义验证对数据库中所存储的信息的访问权限的函数 (授权函数)。这个规则可以发现与未经授权的访问相关的漏洞Alias Rule
在安全编码规则包或自定义规则的范围内定义核心和扩展API 所发现的能够模拟其他函数行为的函数。
2) Allocation Rule
定义内存分配的函数。这个规则有助于跟踪缓冲区大小并检测 buffer overflow 漏洞
3) Buffer Overflow Detection Rules for 'scanf' Family of Functions
定义像 scanf() 家族函数一样运行的函数。这些规则有助于跟踪缓冲区大小并检测 buffer overflow 漏洞
4) Buffer Overflow Detection Rules for 'sprintf' Family of Functions
定义像 sprintf() 家族函数一样运行的函数。这个函数可以在格式化字符串中并置多个起始缓冲区,并将格式化字符串的多个内存单位复制到目标缓冲区。这个规则有助于跟踪缓冲区大小并检测 buffer overflow 漏洞

5) Buffer Overflow Detection Rules for 

最低0.47元/天 解锁文章
Fortify自定义规则笔记()
liweibin812的博客
02-14 1万+
一. Fortify SCA 自定义规则介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使得...
安全测试工具之-fortify
ShanDong_Chu
03-04 1680
目录 1、简介 2、自定义规则原理 3、自定义规则 4、运行自定义规则 1、简介 Fortify是Micro Focus旗下AST (应用程序安全测试)产品[1],其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RA...
fortify linux自定义规则
qq_55814775的博客
10-17 353
好像是要在ExternalMetadata这个文件夹下创建规则,原话是。需要在Core/config/rules文件夹下编写规则吗。还在探索中........
2022年Fortify最新规则资源下载
最新发布
gitblog_06763的博客
05-07 358
2022年Fortify最新规则资源下载 【下载地址】2022年Fortify最新规则资源下载 探索最新Fortify规则资源,提升代码安全新高度。此资源包汇集了2022年最新Fortify规则,专为增强应用程序安全性而设计。通过应用这些规则,您的代码将能够更有效地抵御新兴安全威胁,确保软件运行更加稳健。立即获取并更新您...
Fortify安全代码规则编写指南.rar
03-28
Fortify 安全代码使用指南 Chapter 1: 理解安全编码规则 这章节包括以下标题: 什么是安全编码规则? 什么是Secure Coding Rulepacks?什么是自定义规则?什么是漏洞类别?什么是规则类型 什么是安全编码规则?
fortify 2018rules.zip
09-20
fortify 2018年的规则库,有需要的朋友自行下载。
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
Fortify SCA rules 2018最新版扫描规则
11-20
Fortify SCA rules 2018最新版扫描规则, 下载可以直接导入, 并提供报告输出, 安全可靠.
OpenHarmony内核源码分析(忍者ninja篇) | 都忍者了能不快吗
xianglizaibie的博客
02-25 357
rule cxxdeps = gccrule alinkrule linkrule stamprule asmdeps = gccrule ccrule copy注意这些规则中的描述字段,其后面的内容会打到控制台上,每一条输出都是一次build,如图所示,通过这些描述就知道使用了什么规则去构建.
【MATLAB代码版本控制】:专家级的版本管理策略
[MATLAB/Simulink学习笔记](https://didatica.tech/wp-content/uploads/2019/10/Script_R-1-1024x327.png) 参考资源链接:[Simulink学习笔记:断路器控制与信号流连接解析]...
Fortify SCA 代码规则库-支持Java
02-27
Fortify SCA 代码规则库-支持Java,静态代码扫描 Fortify在线规则库网址,符合代码安全的编码参考 Fortify SCA Java
2020版fortify规则库文件
06-21
最新版本的代码扫描工具fortify规则库,网络上很多2019版本的下载,但是没有对应的规则,这份是最新版本的规则
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
fortify规则库rules_20170905.zip
05-27
core_abap.bin core_abap_preview.bin core_actionscript.bin core_android.bin
Fortify SCA 2018.1.1.003 中文规则
07-25
Fortify SCA 2018.1.1.003 中文规则Fortify SCA 代码规则库-支持Java、C、C++、C#、PHP、Swift等静态代码扫描 ,符合代码安全的编码参考 Fortify SCA 。
2022年Fortify中文规则库-rules版本2022.1.1.0007
gitblog_09761的博客
09-06 762
2022年Fortify中文规则库-rules版本2022.1.1.0007 项目地址:https://gitcode.com/open-source-toolkit/786f7 欢迎使用Fortify中文规则库升级包 本仓库提供了2022年Fortify中文规则库的最新更新,版本号为2022.1.1.0007。此资源旨在帮助用户提升其Fortify应用程序安全扫描的精确度与覆盖范围,特别是对于需...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值