华克斯信息-新疆fortify工具

Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持审核工作台和安全编码插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全编码包。

国际平台与架构

HP Fortify SCA在以下平台上安装时支持双字节和国际字符集：

操作系统版本架构

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista业务

Vista Ultimate x86：32位

Oracle Solaris 10 x86

对于非英语平台，不支持以下内容：

操作系统：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架构

应用服务器：Jrun，jBoss，BEA Weblogic 10

数据库：DB2

注意：本版本中不包含本地化文档。

语言

HP Fortify SCA支持以下编程语言：

语言版本

ASP.NET，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++请参见“编译器”

经典ASP（带VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1与IMS，DB2，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，源代码检测工具fortify工具，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

ActionScript / MXML 3和4

XML 1.0

ABAP / 4

构建工具版本

Ant 1.5.x，源代码扫描工具fortify工具，1.6.x，1.7.x

Maven 2.0.9或更高版本

编译器

HP Fortify SCA支持以下编译器：

编译器操作系统

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特尔icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

综合开发环境

适用于Eclipse的HP Fortify软件安全中心插件和用于Visual Studio的HP Fortify Software Security Center软件包在以下平台上受支持：

操作系统IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，源代码扫描工具fortify工具，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，3.3，3.4，3.5，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上运行的Eclipse 3.4+。但是，HP Fortify软件安全中心确实支持在64位平台上在32位JRE上运行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服务集成：

服务应用版本支持的工具

Bug创建Bugzilla 3.0审核工作台，

Visual Studio SCP，

Eclipse SCP

惠普质量中心9.2，10.0审核工作台，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平台上安装用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安装HPQC客户端加载项软件。

注意：Team Foundation Server集成需要您安装Visual Studio Team Explorer软件。

Fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。

配置此分析器在应用程序的部署配置文件中搜索错误，弱点和策略违规。

缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。

分享这个

于十二月二十四日十二时十七分

感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，我将非常感谢。 - 新手十二月27"12 at 4:22

1

有一个很好的，但干燥的书的主题：amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 "12 at 16:09

现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一个非常好的，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：

您的源代码被转换为中间模型，该模型针对SCA的分析进行了优化。

某些类型的代码需要多个阶段的翻译。例如，需要先将C＃文件编译成一个debug.DLL或.EXE文件，然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相应的Fortify SCA翻译器一次翻译成该语言。

SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入FPR文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。

Fortify软件

强化静态代码分析器

使软件更快地生产

HPE安全强化生态系统

应用安全解决方案需要自然地集成到SDLC工作流程中。 Fortify套件使用开放API将应用程序安全测试嵌入开发工具链的所有阶段;开发，部署和生产。

更多信息和

您的应用安全性如何？

您的公司可能是新的应用程序安全性或更成熟的安全性，但是您可以做更多的事情吗？采取全mian的评估来评估你的立场。

进行评估

黑ke的业务

了解您xin的竞争对手 - 黑ke - 以及如何破坏他们的业务来保护自己。企业安全，新疆fortify工具，结合全mian的安全计划和团队，对于黑ke业务的有效计划至关重要。

阅读完整报告

服务

汽车服务

零售

ServiceMaster转换应用程序

ServiceMaster将应用程序安全性集成到软件开发生命周期（SDLC）和DevOps部署过程中，以生成更安全的软件，并检测并防御应用程序攻击。