Fortify自定义规则笔记(二)

最新推荐文章于 2025-05-14 09:19:26 发布
最新推荐文章于 2025-05-14 09:19:26 发布
阅读量6.3k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 静态分析 文章标签: Fortify 静态分析 自定义规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liweibin812/article/details/87371750

摘要:

对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞类型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞能力越来越强,误报率会越来越低,一定程度上可以智能化扫描系统。

如下是fortify自定义规则向导中的规则选项:

1) Access Control: Database  Validation Rule
定义验证对数据库中所存储的信息的访问权限的函数 (授权函数)。这个规则可以发现与未经授权的访问相关的漏洞Alias Rule
在安全编码规则包或自定义规则的范围内定义核心和扩展API 所发现的能够模拟其他函数行为的函数。
2) Allocation Rule
定义内存分配的函数。这个规则有助于跟踪缓冲区大小并检测 buffer overflow 漏洞
3) Buffer Overflow Detection Rules for 'scanf' Family of Functions
定义像 scanf() 家族函数一样运行的函数。这些规则有助于跟踪缓冲区大小并检测 buffer overflow 漏洞
4) Buffer Overflow Detection Rules for 'sprintf' Family of Functions
定义像 sprintf() 家族函数一样运行的函数。这个函数可以在格式化字符串中并置多个起始缓冲区,并将格式化字符串的多个内存单位复制到目标缓冲区。这个规则有助于跟踪缓冲区大小并检测 buffer overflow 漏洞

5) Buffer Overflow Detection Rules for 'strcat' Family of Functions
定义像 strcat() 家族函数一样运行的函数。它在目标缓冲区的末端并置了多个起始缓冲区的内存单位。这些规则有助于跟踪缓冲区大小并检测 buf

最低0.47元/天 解锁文章

200万优质内容无限畅学
Prettier 配置文件 .prettierrc 详解
AI架构全栈开发实战笔记
06-11 481
在前端开发中,“代码风格不一致”是团队协作的一大痛点:有人用单引号,有人用双引号;有人留尾逗号,有人不留;缩进可能是 2 空格也可能是 4 空格……这些问题看似微小,却会增加代码阅读成本,甚至引发“代码风格之争”。Prettier 是一款“代码格式化工具”,它通过自动化规则统一代码风格。而是 Prettier 的核心配置文件,相当于团队的“代码装修风格指南”——你可以在这个文件里规定“代码的每一处细节该怎么‘装修’”。本文将覆盖的 90% 常用配置项,帮你快速上手。
CISP 思维导图
cwxbox
02-13 1513
CISP。
Fortify自定义规则笔记()
热门推荐
liweibin812的博客
02-14 1万+
一. Fortify SCA 自定义规则介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使得...
fortify linux自定义规则
qq_55814775的博客
10-17 376
好像是要在ExternalMetadata这个文件夹下创建规则,原话是。需要在Core/config/rules文件夹下编写规则吗。还在探索中........
Fortify安全代码规则编写指南:助您提升代码安全性
最新发布
gitblog_06709的博客
05-14 357
Fortify安全代码规则编写指南:助您提升代码安全性 去发现同类优质开源项目:https://gitcode.com/ 项目核心功能/场景 Fortify安全代码规则编写指南,助力开发者编写安全代码,提升软件安全性。 项目介绍 在当今数字化时代,软件安全已经成为软件开发的重要组成部分。Fortify安全代码规则编写指南,为您提供了一套全面的资源,帮助开发者和安全专家理解并创建适用于不同开发环境的...
Fortify安全代码规则编写指南.rar
03-28
Fortify 安全代码使用指南 Chapter 1: 理解安全编码规则 这章节包括以下标题: 什么是安全编码规则? 什么是Secure Coding Rulepacks?什么是自定义规则?什么是漏洞类别?什么是规则类型 什么是安全编码规则?
fortify 2018rules.zip
09-20
fortify 2018年的规则库,有需要的朋友自行下载。
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
安全测试工具之-fortify
ShanDong_Chu
03-04 1719
目录 1、简介 2、自定义规则原理 3、自定义规则 4、运行自定义规则 1、简介 Fortify是Micro Focus旗下AST (应用程序安全测试)产品[1],其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RA...
Fortify SCA rules 2018最新版扫描规则
11-20
Fortify SCA rules 2018最新版扫描规则, 下载可以直接导入, 并提供报告输出, 安全可靠.
Fortify SCA 代码规则库-支持Java
02-27
Fortify SCA 代码规则库-支持Java,静态代码扫描 Fortify在线规则库网址,符合代码安全的编码参考 Fortify SCA Java
2020版fortify规则库文件
06-21
最新版本的代码扫描工具fortify规则库,网络上很多2019版本的下载,但是没有对应的规则,这份是最新版本的规则
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
fortify规则库rules_20170905.zip
05-27
core_abap.bin core_abap_preview.bin core_actionscript.bin core_android.bin
Fortify SCA 2018.1.1.003 中文规则
07-25
Fortify SCA 2018.1.1.003 中文规则Fortify SCA 代码规则库-支持Java、C、C++、C#、PHP、Swift等静态代码扫描 ,符合代码安全的编码参考 Fortify SCA 。
【免费下载】 2022年Fortify中文规则库-rules版本2022.1.1.0007
gitblog_09761的博客
09-06 801
2022年Fortify中文规则库-rules版本2022.1.1.0007 【下载地址】2022年Fortify中文规则库-rules版本2022.1.1.0007 2022年Fortify中文规则库-rules版本2022.1.1.0007 ...
fortify 自定义规则
04-04
### 如何在Fortify中创建或应用自定义规则 #### 创建自定义规则 为了在Fortify中创建自定义规则,首先需要将编写好的规则包放置于特定路径下以便其生效。通常情况下,默认位置位于 `${FortifyInstall}/Core/config/customrules/` 文件夹内[^1]。 接着,在构建规则之前,必须清楚地理解并识别那些可能引发安全隐患的函数及其特性。这一步骤可以通过审查源代码或者查阅API文档完成。只有当明确了这些函数的行为模式以及它们可能导致的安全漏洞类别之后,才能进一步设计出精确反映上述特性的规则形式[^2]。 一旦完成了前期分析工作,则可以利用Fortify提供的自定义规则编辑器来进行实际操作。此阶段涉及的具体步骤虽然未被详尽描述,但由于已经建立了清晰的功能映射关系,因此整体流程会显得较为直观简易。 #### 应用已有的自定义规则 对于希望直接运用现有的定制化方案而非重新开发新规则的情况而言,可通过多种方式实现这一目标: - **导入官方提供或其他来源的规则集**:无论是通过客户门户获取还是其他合法渠道获得的规则集合都可以轻松加载到不同版本的工作环境中去。例如,在 `Fortify Audit Workbench`, `Fortify Eclipse Complete Plugin` 或者 `Fortify Extension for Visual Studio` 这些平台里均具备相应的功能支持此类动作执行[^4]。 - **针对具体项目实施扫描作业**:如果目的是要对某个具体的 Java 工程进行安全性评估的话,那么只需要启动 Fortify 软件本身,并按照提示指引选取对应的 Java 类型工程对象再附加必要的配置参数即可开始全面细致化的静态代码检测活动[^5]。 ```java // 示例代码片段展示如何调用可能存在风险的方法 public void unsafeMethod(String input){ Runtime.getRuntime().exec(input); // 此处存在命令注入的风险 } ``` 以上示例展示了潜在不安全方法的应用场景之一——未经验证即执行外部输入字符串作为操作系统指令的一部分,这是典型的命令注入隐患表现形式。通过对这类典型例子的学习研究可以帮助我们更好地制定针对性强的有效防御措施及相关联检视准则。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值