Fortify SCA经销商-华克斯(优质商家)

– HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u 确定源代码安全风险评估的审查目标

u 使用Fortify执行初步扫描并分析安全问题结果

u 审查应用程序的架构所特有的代码安全问题

在第yi步中，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险***gao的区域。

在审查主要代码过程中，我们的源代码安全分析人员对代码进行彻底审查来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨站点脚本，SQL注入等。***终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或***程序等。

Fortify SCA 简介

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在

的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，Fortify SCA咨询，还会有相关的安全知识的说明，以及修复意见的 提供。

1．Fortify

SCA 扫描引擎介绍：

Foritfy SCA

主要包含的五大分析引擎：

z 数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生

的安全问题。

z 语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

z 结构引擎：分析程序上下文环境，结构中的安全问题。

z 控制流引擎：分析程序特定时间，状态下执行操作指令的安全 问题。

z 配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全

问题。

z 特有的 X-Tier?跟zong器：跨跃项目的上下层次，贯穿程序来综合 分析问题

FortifySCA***庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

C，

C ， .Net， J***a， JSP，PL/SQL， T-SQL， XML，

CFML

J***aScript， PHP， ASP， VB， VBScript

精que地***漏洞的产生的全路径

支持不同的软件开发平台

Platform:

Windows， Solaris， Red Hat Linux，

Mac OS X， HP-UX， IBM

AIX

IDEs :

Visual Studio， Eclipse， RAD， WSAD

Source Code Analysis Engine（源代码分析引擎）

数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题

语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

结构分析引擎-----分析程序上下文环境，结构中的安全问题

控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

配置分析引擎 -----分析项目配置文件中的敏感信息和配置缺失的安全问题

特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题