源代码检测工具fortify规则-苏州华克斯

Fortify软件

强化静态代码分析器

使软件更快地生产

阅读强力手册

安全开发

开发人员编写代码时，源代码审计工具fortify规则，尽可能早地确保修复。 DevInspect和静态代码分析器（在Premise）和Fortify on Demand将持续的安全测试和反馈直接传递给开发人员桌面。

安全测试

使静态和动态应用程序安全测试的自动化成为工作流程的一个自然部分。 软件安全中心和Fortify on Demand从一个界面提供企业级安全管理功能。

持续监控和保护

生产应用造成da的威胁。 持续监控应用程序风险的变化，执行深度安全扫描，并与Fortify on Demand and Application Defender实时保护应用程序。

HI-RES-290926_1.jpg

HPE Security Fortify仍然是应用程序安全测试的。

了解Gartner所说的话

Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

 数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题

 语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

 结构分析引擎-----分析程序上下文环境，结构中的安全问题

 控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

 配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

 特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

Secure

Coding

Rulepacks

?（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

Custom

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)

HPFortifySCA简介

1.软件基本功能

·        

安全漏洞检测需拥有目前业界quan威的代码漏洞规则库，能够检测出600种以上的问题

·        

支持多种常见编程语言，包括ASP.NET，C，源代码检测工具fortify规则，C++，C#，Classic

ASP， Flex/ActionScript，Java，JavaScript/AJAX，JSP，fortify规则，Objective

C，PL/SQL，PHP，T-SQL，VB.NET，VBScript，VB6，源代码扫描工具fortify规则，XML/HTML，Python，

ColdFusion， COBOL， ABAP等语言。

·        

支持多种IDE，较好地和现有成熟的软件开发环境集成。如：Visual Studio 2003、2005、2008、2010、2012，Eclipse 2.X、 3.X，WSAD，RAD工具等。

·        

支持多种操作系统，即可以安装在所有主流操作系统中，如：Windows、 Linux 、AIX、HP-Unix、 Solaris、Mac OS等。

·        

工具生成的测试结果报告文档包含详尽的中文漏洞说明和修复指导建议。

·        

工具的技术达到国际ling先水平和地位，有国际/国内机构的奖励和证书或对WASC/OWASP组织有重要贡献。在ju的IT研究咨询机构Gartner的xin报告中，应该位于魔力象限的di一象限业界地位。