liweibin812的博客

摘要：前几天无意间有个小伙伴问我要fortify 内置最新规则，突然觉得内置规则既然能扫描代码缺陷，而他本质上是使用xml语言和内置源语言来编写的，心想能不能将其还原为xml文件，这样自定义规则的时候可以进行参考，少走弯路。说干就干，下面贴上具体步骤。1. 既然猜测是通过解析xml规则来对代码进行静态分析的，所以，fortify内部肯定对加密规则进行了解密，将其转化为xml进行静态扫描分析。所以先进行一个初步搜索fortify相关jar包。在everything中输入 fortfiy*.jar，找到和f

TscanCode是腾讯静态分析团队开发的一款开源免费的C/C++静态分析工具，由于其比较简单实用，准确率较高，并且扫描C/C++代码不需要进行编译，所以个人觉得对C/C++项目开发挺有帮助的，就简单介绍一下该工具的安装与使用。1.Tscancode下载安装https://github.com/Tencent/TscanCode下载完成，点击下一步，一直到安装完成即可，因为Tscanc...

安装fortify-maven插件首先在fortify SCA的安装目录下找到maven插件，D:\Fortify_SCA_and_Apps_16.20\plugins\maven\maven-plugin-bin然后执行install.bat脚本将fortify的maven插件安装到本地仓库即可。注：install脚本中的三条命令就是将fortify编译打包安装的一个过程， 其...

最近由于C/C++项目代码审计，有时候开发不给相关的依赖库，是件很蛋疼的事情。因为无法使用fortify SCA进行编译。从而就无法扫描分析漏洞缺陷。依靠人工审计，简直是一件很崩溃的事情，对我一个做java代码审计的人来说，不怎么懂C/C++,更别说找什么溢出，内存泄漏，危险函数，越界，空指针......，那就是一场灾难。所以我就在想能不能找到一款开源的并且不需要编译源代码的开源静态分析工具，...

1.flawfinder的介绍Flawfinder是一款开源的关于C/C++静态扫描分析工具，其根据内部字典数据库进行静态搜索，匹配简单的缺陷与漏洞，flawfinder工具不需要编译C/C++代码，可以直接进行扫描分析。简单快速，最大的有点就是免费，不需要编译。flawfinder工具可以在官网进行下载。https://dwheeler.com/flawfinder/#downloadi...

一. Fortify SCA 自定义规则介绍Fortify是一款强大的静态代码扫描分析工具，其发现代码漏洞缺陷的能力十分强悍，主要是将代码经过编译，依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时，也提供了自定义规则的接口，只要经过正版授权后，便可以在此基础上自定义规则，来增强Fortify SCA的漏洞识别能力，同时经过自定义规则，也可以降低误报，使得...

对于自定义规则，我们需要掌握每条规则的所代表的可以检查的漏洞类型，这样，才能编写有效的自定义规则，伴随着自定义规则库的增多，Fortify SCA发现漏洞，和降低误报率会越来越低，一定程度上可以智能化的扫描系统。

今天拿到开发同事给的maven项目，fortify需要编译，但是发现没有网，于是让开发的同事跑了一个maven仓库，结果发现离线编译还是去互联网下载依赖，很纳闷，最后发现问题在这里：表示此jar包是从LaniCorp这个私服上下载的，而此时我是连不上私服的(这些依赖是别人拷贝给我的)。所以会使用我配置的aliyun的maven镜像，遇到下载不了的jar包就报错了。解决办法就是把这个...

今天用fortify在另一台电脑上编译maven项目报错，Unsupported major.minor version 52.0百度查阅相关资料，大概意思就是，jdk版本有问题，我之前在自己笔记本上用的是1.8.11这个版本，今天在公司电脑上用的是1.8.06这个版本，怀疑应该是版本太低不支持。网上对上面的英文解释大概是：所以，将jdk版本升级后解决了此问题 ，回头想一想应...