FortifySCA掃(sao)描分析功(gong)能要求(qiu)

·

跟蹤可yi的輸入數據(ju)，直(zhi)到該數據(ju)被不安全使(shi)用的全過程(cheng)中，分析數據(ju)使(shi)用中的安全隱(yin)患。

·

發現易于遭受攻擊的(de)語言(yan)函數或者過(guo)程，并(bing)理解它(ta)們使(shi)用(yong)的(de)上下文環境，識別(bie)出(chu)使(shi)用(yong)特定(ding)函數或者過(guo)程帶來的(de)軟件安全的(de)隱患(huan)。

·

jing確(que)地(di)跟(gen)蹤業務(wu)操作的先后(hou)順序，發現因代碼構造不合理而帶來的軟件安全隱患。

·

自動分析軟(ruan)件的(de)配(pei)置和代(dai)碼(ma)的(de)關系，發現在軟(ruan)件配(pei)置和代(dai)碼(ma)之間，由于配(pei)置丟失(shi)或者不一致而帶來的(de)安全隱患。

FortifySCA軟(ruan)件(jian)安全管理器是軟(ruan)件(jian)安全分析、管理的綜合平(ping)臺。

幫助軟(ruan)件開(kai)發的管(guan)理(li)(li)人員統計(ji)和(he)分析(xi)軟(ruan)件安(an)全的風險、趨勢，跟蹤和(he)定wei軟(ruan)件安(an)全漏洞，提供足夠(gou)多(duo)的軟(ruan)件安(an)全質量方面的真(zhen)實的狀(zhuang)態信息以(yi)便于管(guan)理(li)(li)人員制定安(an)全管(guan)理(li)(li)決策及編(bian)碼規則。

在(zai)不可以修改源代(dai)碼的(de)情況下，實為理xiang的(de)解決辦法(fa)

直接安裝在(zai)應用系統(tong)二進制碼(ma)上 —— 完全不需要源代(dai)碼(ma)

快、易于安裝及部署

為大部份已(yi)知的漏洞提(ti)供防御(yu)

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

如何修正HP Fortify SCA報(bao)告中的弱點？

常見(jian)的靜態程序碼掃(sao)描工(gong)具（又稱原始碼檢測，白箱掃(sao)描），例如HP Fortify SCA，被許多(duo)企業用來提高資訊安全(quan)的透明度(du)以及外部的法規(gui)遵循(xun)。但是拿(na)到報告(gao)之(zhi)后怎么辦呢？

對于許(xu)多(duo)來說，fortify總代(dai)理，HP Fortify SCA的報(bao)告被視(shi)為(wei)麻煩(fan)制(zhi)造(zao)者，因為(wei)它們雖然指(zhi)出了弱點(dian)（不論是(shi)真的或是(shi)誤(wu)報(bao)），但卻沒有提供(gong)任何修正這些弱點(dian)的方法。

有(you)沒(mei)有(you)簡單的(de)方法能(neng)夠修正(zheng)靜態程式碼掃描工具找到(dao)的(de)弱點呢？

Lucent Sky AVM和(he)靜態程(cheng)序碼掃(sao)描工(gong)(gong)具(ju)一(yi)(yi)樣會指出弱(ruo)點，源代(dai)碼檢測工(gong)(gong)具(ju)fortify總代(dai)理(li)，同時提供即時修復 - 一(yi)(yi)段安全的(de)程(cheng)式(shi)碼片段，源代(dai)碼掃(sao)描工(gong)(gong)具(ju)fortify總代(dai)理(li)，能夠直接插入程(cheng)式(shi)碼中來(lai)修正跨站腳本（XSS），SQL注入和(he)路徑處理(li)這些常見(jian)的(de)弱(ruo)點。

以(yi).NET（C＃和(he)VB.NET）和(he)Java應用程式來說，Lucent Sky AVM可以(yi)修正多達90％所找到的弱點(dian)。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只會(hui)(hui)告(gao)訴(su)你弱點在哪里，而Lucent Sky AVM會(hui)(hui)指(zhi)出(chu)它們(men)的(de)位置以及修(xiu)(xiu)(xiu)正(zheng)(zheng)方式（并(bing)且(qie)實際為你修(xiu)(xiu)(xiu)正(zheng)(zheng)他們(men)，你喜歡(huan)的(de)話）HP Fortify SCA是(shi)被設(she)計來供資安人士(shi)使用(yong)，因此設(she)計理念是(shi)找出(chu)大(da)量的(de)結果，再依(yi)賴(lai)資訊安全(quan)(quan)來移除其中的(de)誤報.Lucent Sky AVM則是(shi)專注于找出(chu)會(hui)(hui)真正(zheng)(zheng)影響應用(yong)程式安全(quan)(quan)的(de)弱點，并(bing)依(yi)照你或(huo)你的(de)開發(fa)與資訊安全(quan)(quan)團隊的(de)設(she)定來可靠的(de)修(xiu)(xiu)(xiu)正(zheng)(zheng)這(zhe)些弱點。你可以深入(ru)了(le)解Lucent Sky AMV的(de)修(xiu)(xiu)(xiu)正(zheng)(zheng)流程。