Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

閱讀強力手冊

安全開發

開(kai)發人員編寫代碼時(shi)，盡可能早地確(que)保修復。 DevInspect和(he)靜態代碼分析器（在Premise）和(he)Fortify on Demand將持續(xu)的安全測試和(he)反(fan)饋直(zhi)接傳遞給開(kai)發人員桌面。

安全測試

使靜(jing)態(tai)和(he)(he)動態(tai)應(ying)用程序(xu)安全(quan)測試的(de)自動化成為工作(zuo)流程的(de)一個自然部分。 軟(ruan)件安全(quan)中心和(he)(he)Fortify on Demand從一個界面提(ti)供(gong)企業級安全(quan)管理功能。

持續監控和保護

生產應用(yong)造成da的威(wei)脅。 持續監控應用(yong)程序風險的變化，執行深度安全掃(sao)描，并(bing)與Fortify on Demand and Application Defender實時保護應用(yong)程序。

HI-RES-g

HPE Security Fortify仍然是應用程(cheng)序安全測試的。

了解Gartner所說的話

Fortify SCA 簡介

Fortify SCA 是一(yi)個(ge)靜(jing)態的(de)(de)、白盒的(de)(de)軟件源代(dai)碼(ma)安(an)全測試工具。 它(ta)通過(guo)內(nei)置(zhi)的(de)(de)五大主要(yao)分(fen)析引擎：數據流(liu)(liu)、語義、結構、控(kong)制流(liu)(liu)、配 置(zhi)流(liu)(liu)等對應用軟件的(de)(de)源代(dai)碼(ma)進行靜(jing)態的(de)(de)分(fen)析，分(fen)析的(de)(de)過(guo)程中與(yu)它(ta)特有 的(de)(de)軟件安(an)全漏(lou)洞(dong)規則(ze)集(ji)進行全mian地匹(pi)配、查找(zhao)，從而(er)將(jiang)源代(dai)碼(ma)中存在

的(de)(de)(de)(de)安全漏(lou)洞掃(sao)描出來，并(bing)給予整理報告。掃(sao)描的(de)(de)(de)(de)結(jie)果中不但包括詳細 的(de)(de)(de)(de)安全漏(lou)洞的(de)(de)(de)(de)信(xin)息(xi)，源代碼審計(ji)工具fortify價格，還會(hui)有相關的(de)(de)(de)(de)安全知識的(de)(de)(de)(de)說明，源代碼審計(ji)工具fortify價格，以及修復意(yi)見的(de)(de)(de)(de) 提供。

1．Fortify

SCA 掃描(miao)引擎介紹：

Foritfy   SCA

主(zhu)要包(bao)含(han)的五(wu)大分析引擎：

z   數據流引擎：跟蹤(zong)，fortify價格，記錄并分析程序中的數據傳遞(di)過程所產(chan)生

的安全問題。

z 語義引擎：分析程序中不(bu)安(an)全(quan)的函(han)數(shu)，方法的使用的安(an)全(quan)問(wen)題(ti)。

z 結構(gou)引擎：分析(xi)程序上下(xia)文環境，結構(gou)中的安全問題(ti)。

z   控(kong)制流引擎：分(fen)析程序(xu)特定時間，狀態下執行操作指令的安全(quan) 問題(ti)。

z   配(pei)(pei)置(zhi)引(yin)擎(qing)：分析項(xiang)目配(pei)(pei)置(zhi)文件中(zhong)的(de)敏感信息和配(pei)(pei)置(zhi)缺失的(de)安全

問題。

z   特有的(de) X-Tier?跟zong器：跨躍項(xiang)目的(de)上(shang)下層(ceng)次(ci)，貫穿(chuan)程序來綜合 分析問題

Fortify SCA產品組件(jian)及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

 數(shu)據流分析(xi)引擎-----跟(gen)蹤，記錄并分析(xi)程序中的數(shu)據傳遞過程的安全問題

 語(yu)義分析(xi)引擎-----分析(xi)程序(xu)中不安(an)全的函數，方法的使用的安(an)全問題(ti)

 結(jie)構分析引擎-----分析程(cheng)序上下(xia)文環(huan)境(jing)，結(jie)構中的安(an)全問(wen)題

 控制流分析(xi)引擎-----分析(xi)程序(xu)特定時間，狀(zhuang)態下(xia)執行操作指(zhi)令的安(an)全(quan)問題

 配置分析引(yin)擎

-----分(fen)析項目配置文件中的敏感信息和配置缺失的安(an)全問題(ti)

 特有的(de)X-Tier?跟蹤qi-----跨躍項(xiang)目的(de)上下層(ceng)次(ci)，貫穿程序來(lai)綜合分析問(wen)題

Secure

Coding

Rulepacks

?（安全編碼規則包）

Audit

Workbench（審查工作臺）

Custom

Rule

Editor

&

Custom

RuleWizard(規(gui)則自定(ding)義(yi)編(bian)輯器和向導)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的標(biao)準

OWASP top 2004/2007/2010/2013/2014(開放式Web應(ying)用(yong)程序安(an)全(quan)項目)

2. PCI1.1/1.2/2.0/3.0(國際(ji)信用ka資料安全(quan)

技術PCI標準)

3. WASC24+2(Web應(ying)用(yong)安(an)全聯合(he)威脅(xie)分類)

4. NIST SP800-53Rev.4(美國與(yu)技術研究院)

5. FISMA(聯邦(bang)信息安全管(guan)理法案(an))

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全(quan)漏洞詞典)