Fortify SCA软件-华克斯

FortifySCA***庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

C，

C ， .Net， J***a， JSP，PL/SQL， T-SQL，Fortify SCA采购， XML，

CFML

J***aScript， PHP， ASP， VB， VBScript

精que地***漏洞的产生的全路径

支持不同的软件开发平台

Platform:

Windows， Solaris， Red Hat Linux，

Mac OS X， HP-UX， IBM

AIX

IDEs :

Visual Studio， Eclipse， RAD， WSAD

Source Code Analysis Engine（源代码分析引擎）

数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题

语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

结构分析引擎-----分析程序上下文环境，结构中的安全问题

控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

配置分析引擎 -----分析项目配置文件中的敏感信息和配置缺失的安全问题

特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

– HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u 确定源代码安全风险评估的审查目标

u 使用Fortify执行初步扫描并分析安全问题结果

u 审查应用程序的架构所特有的代码安全问题

在第yi步中，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险***gao的区域。

在审查主要代码过程中，我们的源代码安全分析人员对代码进行彻底审查来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨站点脚本，SQL注入等。***终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或***程序等。

Fortify SCA 的工作原理：

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码（如 J***A，C/C 源代码）转换成一种中间媒体文件 NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。***后形成 包含详细漏洞信息的 FPR 结果文件，用 AWB 打开查看。