FortifySCA掃描分析功能要求

·        

跟蹤可yi的輸(shu)入數(shu)據，直(zhi)到該數(shu)據被(bei)不(bu)安全使用的全過程中(zhong)，源代碼掃描工具fortify，分析數(shu)據使用中(zhong)的安全隱患。

·        

發現易于遭受攻(gong)擊的(de)(de)語(yu)言函數或者過(guo)程，并理解它們使(shi)用的(de)(de)上下(xia)文(wen)環境，識(shi)別出使(shi)用特(te)定函數或者過(guo)程帶(dai)來的(de)(de)軟件安全的(de)(de)隱患。

·        

jing確地(di)跟蹤業(ye)務操作的先后順序(xu)，發現因代(dai)碼構造不合理(li)而帶來的軟件(jian)安全隱患。

·        

自動分(fen)析軟件(jian)的(de)配(pei)置(zhi)和(he)代(dai)碼的(de)關系，發(fa)現在(zai)軟件(jian)配(pei)置(zhi)和(he)代(dai)碼之(zhi)間(jian)，由于配(pei)置(zhi)丟失或者不一致而帶來的(de)安全隱(yin)患。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

轉移景觀

語(yu)言支持也得(de)到了擴展，完(wan)全(quan)支持PHP，JavaScript，COBOL以及所有(you)添加到版本(ben)5的ASP和(he)(he)Basic的classic-non-.NET版本(ben)。Fortify SCA以前(qian)一(yi)直支持C＃，VB.NET，Java和(he)(he)C / C ++，ColdFusion和(he)(he)存(cun)儲過程(cheng)語(yu)言，如Microsoft TSQL和(he)(he)Oracle PL / SQL。

“從基于COM的(de)語言到.NET版(ban)本(ben)的(de)遷移速度并沒有像我們以(yi)前那樣快，”Meftah解釋說。 “這些COM語言的(de)安裝基礎很(hen)大(da)，我們從我們的(de)安裝基礎和其他方面得到了很(hen)多查詢。”

SANS Institute互聯(lian)網風暴(bao)中心研究員Johannes Ullrich表示，Fortify SCA等(deng)代碼(ma)分析工(gong)具對于(yu)成長(chang)型企業開發商店(dian)至關重要。

“我認為[代(dai)碼(ma)分(fen)析工具(ju)]的(de)部(bu)署方式不足，我看到(dao)(dao)(dao)很少使用它(ta)們，通常只適(shi)用于大型企業項目，”Ullrich說(shuo)。 “這是(shi)一(yi)個巨大的(de)時間保護，它(ta)沒有找(zhao)到(dao)(dao)(dao)所(suo)有的(de)漏洞，但(dan)它(ta)找(zhao)到(dao)(dao)(dao)標準的(de)東西，它(ta)需要很多繁忙的(de)代(dai)碼(ma)審查。

Fortify SCA旨在與現有(you)工具和(he)IDE集成，包括Microsoft Visual Studio，Eclipse和(he)IBM Rapid Application Developer（RAD）。基于Java的套件運行在各(ge)(ge)種(zhong)操作(zuo)系統上(shang)，源代碼掃描工具fortify一年多(duo)少(shao)錢，包括Windows，Linux，Mac OS X和(he)各(ge)(ge)種(zhong)各(ge)(ge)樣(yang)的Unix。

許可證的(de)基準(zhun)價(jia)格為每位開發人員約1，200美(mei)元，另外(wai)還需(xu)支(zhi)付維護費用，源(yuan)代碼掃描工具fortify代理商(shang)，并訂閱更新的(de)代碼規則(ze)以防止出現的(de)漏洞(dong)。

關于作者

邁克爾·德(de)斯蒙德(de)（Michael Desmond）是1105媒體企(qi)業(ye)計(ji)算組(zu)織的編輯兼作家。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

如何修(xiu)正HP Fortify SCA報(bao)告中的弱點(dian)？

常見的(de)靜態程(cheng)序(xu)碼(ma)掃描工(gong)具（又稱原始碼(ma)檢測，白(bai)箱掃描），例如HP Fortify SCA，被許多企業用來提高(gao)資(zi)訊安全(quan)的(de)透明度以及(ji)外部的(de)法規遵循。但是拿到報告之后怎(zen)么辦呢？

對于許多來說，HP Fortify SCA的(de)報告被(bei)視為麻煩制造(zao)者，因為它們(men)雖然指(zhi)出了弱點（不論是(shi)真的(de)或是(shi)誤報），但卻沒有提供任何修(xiu)正這些弱點的(de)方法。

有(you)沒有(you)簡單的方法(fa)能夠修正靜態(tai)程(cheng)式(shi)碼掃描工具(ju)找到的弱點呢？

Lucent Sky AVM和靜態程(cheng)序(xu)碼(ma)掃描工具一(yi)樣會指出弱點(dian)，同時提供即時修(xiu)(xiu)復 - 一(yi)段安全的程(cheng)式碼(ma)片段，能夠(gou)直接插入(ru)程(cheng)式碼(ma)中來修(xiu)(xiu)正跨站(zhan)腳本（XSS），SQL注(zhu)入(ru)和路(lu)徑處理這(zhe)些常見的弱點(dian)。

以.NET（C＃和VB.NET）和Java應用程式來說，Lucent Sky AVM可(ke)以修正(zheng)達90％所(suo)找到的弱點。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只會(hui)(hui)告訴你(ni)(ni)弱點(dian)在(zai)哪里(li)，而Lucent Sky AVM會(hui)(hui)指(zhi)出(chu)它們的位置以(yi)及修(xiu)(xiu)正方式（并且(qie)實際(ji)為(wei)你(ni)(ni)修(xiu)(xiu)正他(ta)們，你(ni)(ni)喜歡(huan)的話）HP Fortify SCA是(shi)被設計(ji)來(lai)(lai)供資安(an)人士(shi)使用，源代(dai)碼掃描工具fortify價格表(biao)，因此設計(ji)理念(nian)是(shi)找出(chu)大(da)量的結果，再依賴資訊安(an)全(quan)(quan)來(lai)(lai)移除其中的誤報.Lucent Sky AVM則是(shi)專注于找出(chu)會(hui)(hui)真正影響應用程式安(an)全(quan)(quan)的弱點(dian)，并依照你(ni)(ni)或你(ni)(ni)的開發與(yu)資訊安(an)全(quan)(quan)團(tuan)隊(dui)的設定來(lai)(lai)可靠的修(xiu)(xiu)正這些弱點(dian)。你(ni)(ni)可以(yi)深入了(le)解Lucent Sky AMV的修(xiu)(xiu)正流程。