{源代码审计}应用安全expert团队帮助客户发现源代码中可能导致数据损坏、不可预测的行为、应用程序故障和其他问题等,新疆fortify sca,Maximum extent的解决源代码中的质量缺陷、潜在安全漏洞、测试问题、及Java运行时缺陷等,源代码扫描工具fortify sca,并出具源代码审计报告。
编程语言支持:Java、C/C++、OC、JavaScript、PHP、Python、.Net等20+种类型。
审计类型支持:安全漏洞(注入、跨站脚本、安全配置错误、敏感信息泄露、未验证的重定向和转发等)、质量缺陷(死代码、空方法、未释放的资源、过实的方法等)、编程风格(命名规则、变量常量与类型、表达式与语句、参数、注释、文件布局等)等100+类型。
白盒测试工具支持:Fortify、SonarQube、Coverity等。
一、对比分析我们使用WebGoat做为测试用例,源代码检测工具fortify sca,来分析一下两个产品的差异。
1、使用工具:
?Fortify SCA ?SonarQube
2、使用默认规则,不做规则调优。
3、扫描后直接导出报告,源代码扫描工具fortify sca,不做审计。
二、扫描问题总览
Fortify SCA扫描结果报告:
从上边可以看出:Fortify扫描出Critical和High级别的漏洞共计757条。
SonarQube扫描出阻断和严重级别的漏洞为28条,关于软件质量问题有2K+条。
Fortify扫描出来的内容,基本上都是和安全相关的信息。例如:?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection
Fortify SCA更新
以下功能已添加到强化静态代码分析器中。
操作系统支持更新
Fortify增加了对以下操作系统和版本的支持:
·macOS 12 Apple silicon
·Ubuntu 22.04.1 LTS
编译器更新
Fortify添加了对以下编译器版本的支持:
·Clang 14.0.0
·Swiftc 5.7
构建工具更新:
Fortify添加了对以下编译器版本的支持:
·Xcodebuild 14 and 14.0.1
语言和框架更新
·COBOL
IBMEnterprise COBOL for zOS 6.2 and 6.3
Micro Focus Visual COBOL 7.0 and 8.0
·Apex 55
·Kotlin 1.6
·PHP 8.1
·TypeScript / JavaScript
React 17.0
React Native .68
Vue 2
Note:Rules for Vue 2 will be part of the Fortify Software Security Content 2022 R4 release.
新疆fortify sca-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业软件中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!
