进行安全扫描_FortifySca自定义扫描规则前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况，而不必为所有这些假想情况经过必要的计算来执行这些代码。那么代码安全扫描工具到底应该怎么使用？以下是参考fortifysca的作者给出的使用场景：常规安全问题(如代码注入类漏洞)这块，目前的fortifysca规则存在较多误报，通过规则优化降低误报。而在特定安全问题上，越来越多的合规要求需要满足(如等保、国信办、银保监要求)，自带的扫描规则肯定检测不到这些问题，需要自定义扫描规则，从合规的角度来展示安全风险。常规安全问题误报优化目前开发人员反馈蕞多的问题是：代码安全扫描工具误报较多，我们先看下代码安全安全分析的过程，如下图示：Fortify常见问题解决方法内存不足问题在应用FortifySCA实施源代码扫描过程中内存不足是分析器（sourceanalyzer）经常报出的一类问题，如下：扫描过程中：1、com.fortify.sca.analyzer.AbortedException:Thereisnotenoughmemoryavailable2、tocompleteanalysis.Fordetailsonmakingmorememoryavailable；Therewere3problemswithinsufficientmemory.Resultsmaybeincomplete.因此，我们必须对JVM参数进行调整，源代码扫描工具fortify规则库，增加虚拟器内存大小。（1）确认安装64位的FortifySCA程序；（这是一个众所周知的JVM问题，32为虚拟机内存大小及其有限）；（2）安装一个64位的jre，并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录（就算你安装了64位的FortifySCA程序，该程序默认的jre仍然是32位的）；Fortify内存注意事项默认情况下，安徽fortify规则库，FortifySCA蕞多可使用600MB的内存。如果该内存仍不能满足分析某个特定代码库的需要，源代码扫描工具fortify规则库，您可能需要在扫描阶段提供更多的内存。这可以通过在sourceanalyzer命令中使用-Xmx选项来实现。例如，要让FortifySCA可用的内存达到1000MB，可在命令中包含-Xmx1000M选项。注意：为FortifySCA分配的内存不应高于计算机本身的可用内存，因为这样会降低性能。指导原则是在没有运行其他内存密集型程序的情况下，分配的内存不能超过2/3的可用物理内存。源代码扫描工具fortify规则库-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是江苏苏州,行业软件的见证者，多年来，公司贯彻执行科学管理、创新发展、诚实守信的方针，满足客户需求。在华克斯领导携全体员工热情欢迎各界人士垂询洽谈，共创华克斯更加美好的未来。)