{源代(dai)(dai)碼審(shen)(shen)計}應用安全(quan)expert團隊幫(bang)助客戶發現源代(dai)(dai)碼中可能導致(zhi)數據(ju)損壞、不可預測的行為、應用程序故障和其他(ta)問(wen)題等，華中fortify工具，Maximum extent的解決源代(dai)(dai)碼中的質量缺(que)陷(xian)、潛在安全(quan)漏洞、測試問(wen)題、及Java運行時缺(que)陷(xian)等，源代(dai)(dai)碼審(shen)(shen)計工具fortify工具，并出具源代(dai)(dai)碼審(shen)(shen)計報(bao)告。

編程語言支持：Java、C/C++、OC、JavaScript、PHP、Python、.Net等20+種類(lei)型(xing)。

審計類型支(zhi)持：安(an)全(quan)漏洞（注入(ru)、跨站腳本、安(an)全(quan)配置錯誤、敏感信息(xi)泄露、未驗(yan)證(zheng)的重定(ding)向(xiang)和轉發等(deng)）、質量(liang)缺陷(xian)（死代(dai)碼、空方法(fa)、未釋(shi)放的資源(yuan)、過實(shi)的方法(fa)等(deng)）、編程風格（命名規則、變量(liang)常量(liang)與(yu)類型、表達式與(yu)語句、參數、注釋(shi)、文件布(bu)局等(deng)）等(deng)100+類型。

白盒測試工(gong)具支持：Fortify、SonarQube、Coverity等。

SonarQube從(cong)七個(ge)維度來分析代碼質量問題(ti)：

可靠性

安全性

可維護性

覆蓋率

重復

大小

復雜度

問題

單論(lun)代碼分析(xi)能力，拿(na)SonarJava舉例(li)，對(dui)于大多(duo)數zui佳(jia)實踐(jian)類(lei)型的問題(ti)(ti)，比如(ru)不(bu)該(gai)使用(yong)MD5，源(yuan)代碼掃描(miao)工(gong)具(ju)fortify工(gong)具(ju)，不(bu)要(yao)用(yong)主線程sleep等，都還是查的不(bu)錯(cuo)。但(dan)是真正嚴(yan)重的安全(quan)漏洞(dong)，比如(ru)SQL注入(ru)之類(lei)的污點傳播類(lei)問題(ti)(ti)，一(yi)般涉及(ji)跨文件，函數，以及(ji)涉及(ji)對(dui)虛函數、數組、容器的處理，還要(yao)識(shi)別通過框架等配置的數據處理邏輯(ji)，那就(jiu)無能為力。

這(zhe)也是(shi)SonarQube分析器(qi)跟Fortify工具(ju)的(de)差距所(suo)在。

ScanCentral SAST 選項卡增強(qiang)功(gong)能

對 SCANCENTRAL 視圖中的(de) SAST 選項卡進行(xing)了以下(xia)更改：

“狀(zhuang)態(tai)”列(lie)現(xian)(xian)在是“狀(zhuang)態(tai)”列(lie)，現(xian)(xian)在顯(xian)示符號以指示當前掃描(miao)狀(zhuang)態(tai)。

“掃(sao)描請(qing)求”表現在包括(kuo)“優(you)先級(ji)”列，該(gai)列顯示掛(gua)起的(de)(de)掃(sao)描請(qing)求作業的(de)(de)運行順序。您可以通(tong)過選(xuan)擇(ze)優(you)先級(ji)標題對列出(chu)的(de)(de)作業進行排序。擴展掃(sao)描請(qing)求的(de)(de)詳細信(xin)息現在包括(kuo)“確定(ding)掃(sao)描優(you)先級(ji)”按(an)鈕，您可以選(xuan)擇(ze)該(gai)按(an)鈕將掃(sao)描請(qing)求移動到(dao)池的(de)(de)作業隊列頂部。您還可以單擊(ji)“掃(sao)描請(qing)求”表中的(de)(de)箭頭圖標，將請(qing)求移動到(dao)隊列頂部。有(you)關詳細信(xin)息，源代碼審計工(gong)具fortify工(gong)具，請(qing)參(can)閱用戶指南中的(de)(de)“確定(ding) ScanCentral SAST 掃(sao)描請(qing)求的(de)(de)優(you)先級(ji)”。

查看和審核已消除的漏洞結果

現在(zai)，您(nin)可以在(zai) Fortify 軟件安全中(zhong)心(xin)查看(kan)(kan)和審(shen)核(he)應用程(cheng)序的(de) Debricked 掃描(miao)結果(guo)，這樣(yang)，除了(le)查看(kan)(kan)源(yuan)代碼中(zhong)的(de)漏洞(dong)(dong)外，您(nin)還可以查看(kan)(kan)來自第三方(fang)庫的(de)開源(yuan)漏洞(dong)(dong)。有關詳細信(xin)息(xi)，請參(can)閱用戶指南(nan)中(zhong)的(de)“查看(kan)(kan)開源(yuan)數據”。

在(zai)錯誤跟(gen)蹤模板中創建可點擊的鏈接

從(cong)版本 22.1.1 開(kai)始，您可(ke)以在錯誤跟zong器(qi)的(de)速(su)度(du)模板中(zhong)(zhong)使(shi)用(yong)(yong)新的(de) HtmlUtil 類來創(chuang)建指向 Fortify 軟件安全中(zhong)(zhong)心中(zhong)(zhong)特(te)定問題的(de)鏈接。有關如何使(shi)用(yong)(yong)此類的(de)信息，請選擇“編輯模板”對話框(kuang)中(zhong)(zhong)的(de)“編輯提示”鏈接（請參閱用(yong)(yong)戶(hu)指南中(zhong)(zhong)的(de)“自定義 Bug 跟zong器(qi)插件的(de)速(su)度(du)模板”）。