sonarqube,loadrunner,fortify
借助下一代动态应用程序安全测试功能,fortify申请---,可以使用 scancentral 和现有的 fortify jenkins 及 fortify azure 插件在 ci/cd 流程中启用、扩展和自动化 dast,fortify,从而创建更的 appsec 方法。scancentral dast 新增功能如下:
使用功能性应用程序安全测试 (fast)
fast 以支持 ci/cd 的方式捕获功能测试流量并将其发送到 scancentral dast,进行有针对性的 dast 扫描。与 iast 不同,fast 不受创建测试人员的想法---。fast 扫描应用程序,继续查找功能测试未公开的所有内容。
简化 api 扫描
在21.1.0版本中, 集成的scancentral dast 可以简化 api 扫描,使webinspect 传感器中的新工作流自动检测身份验证请求。
增加 hacker level insights
hacker level insights 是一个新框架,可对应用程序进行安全洞察。21.1.0版本中也包含了对 javasc ript ---框架的检测。
配置数据保留策略
在应用程序或扫描级别中配置数据保留策略,允许自动清除陈旧数据,以支持 scancentral dast 数据库维护及高使用环境中的系统性能。
防止应用程序中断
如果正在运行的扫描发生了中断,或强制完成扫描但未启动新扫描时,scancentral dast 将---不会中断应用程序和扫描过程。
提供基本设置功能
基本设置使 scancentral dast 管理员能够跨所有应用程序或特定应用程序扫描设置模板。管理员可以预先配置扫描模板并将其提供给用户,使用户在不了解安全知识的情况下也能扫描他们的应用程序。
fortify扫描后生成的fpr文件,就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。
使用fortify audit workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项,左下角可以看到整个数据链路,扫描android项目,了解数据的传递路径。视图中上位置是代码窗口,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为fortify默认的解析字节码是gbk,可以在选中代码文件后,---edit->;set encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全---确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是---,可以右键风险项,fortify扫描与审计,选择hide in awb,即可隐藏---问题。
然后是生成报告,我们可以选择生成两种报告:
birt是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项,是否显示。
legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
fortify审计界面概述
下图显示了“auditing审计”界面中的 webgoat fpr 文件示例。
audit workbench 界面:
audit workbench 界面由以下几个面板组成:
“issues问题”面板
“---ysis trace分析---”面板
“project summary项目摘要”面板
“source code viewer源代码查看器”面板
“function函数”面板
“issue auditing问题审计”面板
“issues问题”面板
使用 issues问题面板,您可以对希望审计的问题进行分组和选择。该面板由下列元素组成:
“filter set过滤器组”下拉列表
“folders文件夹”选项卡
group by分组方式
“search搜索”框
|
|||
|
北京 上海 天津 重庆 河北 山西 内蒙古 辽宁 吉林 黑龙江 江苏 浙江 安徽 福建 江西 山东 河南 湖北 湖南 广东 广西 海南 四川 贵州 云南 西藏 陕西 甘肃 青海 宁夏 物流信息 全部地区... |
|||
| 本站图片和信息均为用户自行发布,用户上传发布的图片或文章如侵犯了您的合法权益,请与我们联系,我们将及时处理,共同维护诚信公平网络环境! | |||
| Copyright © 2008-2026 云商网 网站地图 ICP备25613980号-1 | |||
| 当前缓存时间:2025/12/2 2:58:31 |
登录后台
