Fortify常見問題解決方法

內(nèi)存不足問題

在應(yīng)用Fortify SCA實(shí)施源代碼掃描過程中內(nèi)存不足是分析器（sourceanalyzer）經(jīng)常報(bào)出的一類問題，如下：

掃描過程中：

1、com.a.analyzer.AbortedException: There is not enough memory available

2、to complete analysis. ?For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我們必須對(duì)JVM參數(shù)進(jìn)行調(diào)整，源代碼檢測工具fortify版本，增加虛擬器內(nèi)存大小。

（1）確認(rèn)安裝64位的Fortify SCA程序；（這是一個(gè)眾所周知的JVM問題，32為虛擬機(jī)內(nèi)存大小及其有限）；

（2）安裝一個(gè)64位的jre，并將其替換HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目錄（就算你安裝了64位的Fortify SCA程序，該程序默認(rèn)的jre仍然是32位的）；

Fortify掃描漏洞解決方案

Log Forging漏洞

1.數(shù)據(jù)從一個(gè)不可信賴的數(shù)據(jù)源進(jìn)入應(yīng)用程序。 在這種情況下，數(shù)據(jù)經(jīng)由getParameter()到后臺(tái)。

2. 數(shù)據(jù)寫入到應(yīng)用程序或系統(tǒng)日志文件中。 這種情況下，數(shù)據(jù)通過info() 記錄下來。為了便于以后的審閱、統(tǒng)計(jì)數(shù)據(jù)收集或調(diào)試，應(yīng)用程序通常使用日志文件來儲(chǔ)存事件或事務(wù)的歷史記錄。根據(jù)應(yīng)用程序自身的特性，fortify版本，審閱日志文件可在必要時(shí)手動(dòng)執(zhí)行，也可以自動(dòng)執(zhí)行，即利用工具自動(dòng)挑選日志中的重要事件或帶有某種傾向性的信息。如果攻擊者可以向隨后會(huì)被逐字記錄到日志文件的應(yīng)用程序提供數(shù)據(jù)，則可能會(huì)妨礙或誤導(dǎo)日志文件的解讀。的情況是，攻擊者可能通過向應(yīng)用程序提供包括適當(dāng)字符的輸入，在日志文件中插入錯(cuò)誤的條目。如果日志文件是自動(dòng)處理的，那么攻擊者可以破壞文件格式或注入意外的字符，從而使文件無法使用。更陰險(xiǎn)的攻擊可能會(huì)導(dǎo)致日志文件中的統(tǒng)計(jì)信息發(fā)生偏差。通過或其他方式，受到破壞的日志文件可用于掩護(hù)攻擊者的跟蹤軌跡，甚至還可以牽連第三方來執(zhí)行惡意行為。糟糕的情況是，攻擊者可能向日志文件注入代碼或者其他命令，利用日志處理實(shí)用程序中的漏洞。

Fortify SCA 主要特性

1、覆蓋大部分對(duì)友好的語言，支持：

ABAP/BSP、Apex、、C# (.NET)、C/ C++、Classic、ASP（與 VBScript）、COBOL、ColdFusion CFML、Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等

2、 靈活的部署選項(xiàng)適應(yīng)團(tuán)隊(duì)開發(fā)環(huán)境，

比如：Fortify On Demand 允許團(tuán)隊(duì)在完全基于 SaaS 的環(huán)境中工作；Fortify Hosted 通過在隔離的虛擬環(huán)境中工作，源代碼審計(jì)工具fortify版本，完全控制用戶數(shù)據(jù)，為您提供 SaaS 和內(nèi)部部署的效果；Fortify On-Prem 允許團(tuán)隊(duì)對(duì)增強(qiáng)解決方案的所有方面有的控制權(quán)。

3、 安全助理，為開發(fā)人員提供實(shí)時(shí)的代碼、安全分析和結(jié)果。

它提供了結(jié)構(gòu)和配置分析器，源代碼掃描工具fortify版本，這些分析器是專門為速度和效率而建立的，以支持我們即時(shí)的安全反饋工具；安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真實(shí)陽性或假陽性概率非常低——的結(jié)果。

安全助理還可以作為開發(fā)人員的額外工作助手，與靜態(tài)掃描結(jié)合使用，幫助獲得更的安全問題視圖。目前，所有 Fortify SCA 和Fortify On-Prem SCA 的客戶無需額外的許可證或費(fèi)用，即可使用安全助理。