fortifySCA審計功(gong)能要(yao)求

·        

對安全漏洞(dong)掃描結果進行匯(hui)總，并按照問題的嚴重性(xing)和可(ke)能性(xing)進行級(ji)別(bie)(bie)的合理(li)劃分。如(ru)Critical，High，源代(dai)碼檢測工具fortify代(dai)理(li)商，Medium，Low四個(ge)級(ji)別(bie)(bie)。

·        

用戶(hu)能(neng)夠根據企業(ye)自身需要來調整(zheng)和修改問(wen)題的(de)默認分(fen)級策略(lve)，方便審計。

·        

迅速、準確定位(wei)某一特定安全漏洞所在的源代(dai)碼(ma)行，對問題產生的整個過程進行跟蹤，華南fortify代(dai)理商，并能以圖形化的形式展現。

·        

提供每個安全漏洞的中文詳細描(miao)述(shu)和較(jiao)明確和詳盡的推薦修復(fu)建議。

·        

提供與之(zhi)前(qian)掃描(miao)結果的比較，指出本次(ci)掃描(miao)出來(lai)的新問題，并(bing)且能夠與以前(qian)的審計(ji)結果進行(xing)合(he)并(bing)，減少重復審計(ji)工作(zuo)。

·        

支持(chi)按文(wen)件(jian)名、API、漏(lou)洞(dong)類型、嚴重等級(ji)等進行分類、過濾、查(cha)詢、統計。支持(chi)對漏(lou)洞(dong)信息(xi)的(de)全文(wen)檢索功能，可以從其中快速檢索到指(zhi)ding類別(bie)或(huo)者名稱的(de)漏(lou)洞(dong)信息(xi)。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜態代碼分析器

Fortify SCA 5.0提供(gong)從未(wei)在應用程序安(an)全性中提供(gong)的(de)功(gong)能，涵蓋企業(ye)需(xu)要加速安(an)全開(kai)發的(de)三個關鍵領域：

    - 定(ding)制 - 絕大多數今天的企業(ye)都有自定(ding)義的

      應(ying)用程(cheng)序，安全過程(cheng)和反映他們的編碼風格(ge)

      競爭力。任何(he)成功的應用安全實現

      必須(xu)適應各(ge)企業發展需要的(de)性。

      Fortify SCA 5.0使企業能(neng)夠為其(qi)創建(jian)自定(ding)義規則

      他們(men)的任(ren)務關鍵應(ying)用(yong)程序(xu)，以及(ji)給安全人(ren)員(yuan)

      和(he)其他非開(kai)發團隊成員有能力(li)創建(jian)規則

      分鐘，而(er)不是幾天，而(er)不需要先前(qian)的編(bian)碼

      經驗。

    - 協(xie)作 - 安全審核員的擴展(zhan)團隊，合規性

      ，發(fa)展主管和管理軟件

      發(fa)展跨(kua)度(du)時區和(he)組織圖。強化SCA 5.0

      使開發人(ren)員和(he)審計人(ren)員能夠(gou)在代碼(ma)審查，安全性方(fang)面進行協作

      錯(cuo)誤分類(lei)和審核作(zuo)為一(yi)個復雜(za)的(de)開(kai)發項目的(de)團隊。

    - 全mian 

- Fortify幫助企(qi)業部署全mian的(de)

      保(bao)護(hu)過去，現在和(he)未(wei)來應(ying)用的安全策略。如

      不斷變化的黑ke帶來了新的漏洞(dong)類

   ;   景觀和(he)新技術，如Web 2.0。并且繼續使(shi)用漏洞(dong)

      要發展，安全和發展團隊必(bi)須(xu)采取一切可能的步驟(zou)

      確保他們的軟(ruan)件。通過(guo)PHP和JavaScript支持，Fortify SCA

      5.0幫助(zhu)開發團隊面(mian)向未來的應用程序。為了遺產

     ; 應用程(cheng)序，Fortify SCA 5.0將(jiang)支持COBOL和Classic ASP

      保護舊的任務關鍵(jian)型應用程(cheng)序 - 特別(bie)是它們(men)

      由SOA部署暴露。

“選(xuan)擇應用(yong)程序安(an)全測(ce)試技術時，企(qi)業應該將(jiang)這些產品集(ji)成到流xing的開發和(he)測(ce)試工作室（如(ru)Eclipse或(huo)Visual Studio）中，分析編(bian)程語言的數量以及測(ce)試能力的速(su)度(du)和(he)規模，”Joseph說(shuo)費(fei)曼，Gartner副總裁兼Gartner研(yan)究(jiu)員(yuan)。

“存托信托結算(suan)公司通過其(qi)(qi)子公司為股piao，公司和(he)(he)市政，貨幣市場工具(ju)，和(he)(he)擔bao證券以及(ji)非(fei)處(chu)fang衍(yan)生工具(ju)提供，結算(suan)和(he)(he)信息(xi)服務，我(wo)(wo)(wo)(wo)們(men)(men)是共同基jin和(he)(he)保險交易(yi)的(de)領xian處(chu)理(li)商，將基jin和(he)(he)運營商與其(qi)(qi)分銷網絡(luo)聯系(xi)起來(lai)，安全性對我(wo)(wo)(wo)(wo)們(men)(men)的(de)業務至關重要(yao)(yao)，“DTCC信息(xi)安全官員Jim Routh說。 “像許多企業一樣(yang)(yang)，我(wo)(wo)(wo)(wo)們(men)(men)的(de)軟件基礎設施是傳統應(ying)用程(cheng)(cheng)序和(he)(he)新(xin)應(ying)用程(cheng)(cheng)序的(de)結合，因此我(wo)(wo)(wo)(wo)們(men)(men)需要(yao)(yao)一種解決方(fang)案，可以處(chu)理(li)我(wo)(wo)(wo)(wo)們(men)(men)環境(jing)中的(de)技(ji)術(shu)多樣(yang)(yang)性，并將其(qi)(qi)輕松集成(cheng)到我(wo)(wo)(wo)(wo)們(men)(men)的(de)開發環境(jing)中。這樣(yang)(yang)有效“。

Fortify公司的(de)(de)Barmak Meftah補(bu)充說：“Fortify一(yi)(yi)直是廣(guang)泛覆蓋語言，平臺和(he)IDE（集(ji)成(cheng)開發(fa)環境(jing)）的(de)(de)，隨著(zhu)這(zhe)一(yi)(yi)發(fa)布，我們(men)將(jiang)領導(dao)層擴(kuo)展到四種(zhong)新語言并支(zhi)持RSA IDE。產品與服務副總(zong)裁。 “Fortify SCA 5.0為(wei)我們(men)的(de)(de)客戶提(ti)供了更深層次的(de)(de)控制，分(fen)析(xi)和(he)協作，源代(dai)碼(ma)審(shen)計工具fortify代(dai)理(li)商，以保護他們(men)免受(shou)許多流xing和(he)快速(su)發(fa)展的(de)(de)Web 2.0編程(cheng)語言和(he)技術（包括JavaScript和(he)PHP）中的(de)(de)威脅。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜(jing)態代碼(ma)分析器

我想知道比較(jiao)WebInspect與Fortify SCA？

選項

04-01-2012 09:56 PM

我將決定僅(jin)選擇WebInspect和Fortify SCA或Fortify SCA。

與Fortify SCA的WebInspect有什(shen)么(me)不同？ （例如特(te)征比較）

WebInspect和Fortify SCA都有用于測試(shi)如何相同或不同的模(mo)塊或功能？

可以Fortify僅使用(yong)源代碼掃描還是使用(yong)URL掃描？

Re：我(wo)想知道(dao)比較(jiao)WebInspect與Fortify SCA？

選項

04-05-2012 01:47 PM

在(zai)這里，您可(ke)以在(zai)WebInspect論壇中(zhong)找到更好的運氣：

華克斯

WebInspect是攻擊Web應用程序的DAST工(gong)(gong)具(ju)(ju)。 SCA是用于(yu)定(ding)位安全漏洞的SAST工(gong)(gong)具(ju)(ju)，是源代碼。與任何(he)DAST和SAST比較一(yi)樣(yang)，它們都覆蓋著重疊和差距(ju)，源代碼審計工(gong)(gong)具(ju)(ju)fortify代理商，而不是像維恩圖。兩者可(ke)以(yi)在(zai)惠(hui)普的企(qi)業控(kong)制臺后(hou)分(fen)析中匯集在(zai)一(yi)起(qi)，進(jin)行相關和審查。

WebInspect可(ke)以：

- Windows應用(yong)程序(xu)

- 只(zhi)測試(shi)實時網址和(he)網絡(luo)服務

- 黑盒測試儀，處

SCA：

- 運行在(zai)各(ge)種操作(zuo)系統(tong)（Windows，* NIX，Mac）

- 可以(yi)在IDE中，從CLI或構(gou)建服務(wu)器運行

- 只測試源代碼

- 白盒測試儀，處