Fortify漏洞路径怎么分析,以及污点传播路径太长的时候又该怎样筛选重点,是很多团队在复核SAST结果时都会碰到的情况。Fortify扫出一条SQL注入、命令注入、路径遍历或者跨站脚本问题,如果只在列表里看漏洞名称,那是不够的。真正要判断它是不是有效风险,还是要看数据是从哪里来的,中间经过哪些变量和函数,最后流向了哪个危险的调用。Fortify的数据流类问题会在Analysis Trace里面展示污染数据从source到sink的路径,审计的时候这条路径就是主要的判断依据之一。
2026-06-29