51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 10663|回复: 2
打印 上一主题 下一主题

fortify SCA代码检测工具

[复制链接]
  • TA的每日心情
    无聊
    4 天前
  • 签到天数: 530 天

    连续签到: 2 天

    [LV.9]测试副司令

    跳转到指定楼层
    1#
    发表于 2018-12-17 16:05:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。该软件多次荣获全球著名的软件安全大奖,包括InforWord, Jolt,SC Magazine….目前众多世界级的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率,监视和管理软件安全的风险.


    软件产品组成如下:

    Fortify Source Code Analysis Engine(源代码分析引擎)

    采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier跟踪器从不同的方面查看代码的安全漏洞,最大化降低代码安全风险。

    Fortify Secure Code rules:Fortify(软件安全代码规则集)

    采用国际公认的安全漏洞规则和众多软件安全专家的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际权威机构采用,包括美国国土安全(CWE)标准、OWASP,PCI。。。等。

    Fortify Audit Workbench (安全审计工作台)

    辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。

    Fortify Rules Builder(安全规则构建器)
    提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。

    Fortify Source Code Analysis Suite plug in (Fortify SCA IDE集成开发插件)

    Eclipse, WSAD, Visual Studio 集成开发环境中的插件,便于开发者在编写代码过程中可以直接使用工具扫描代码,立刻识别代码安全漏洞,并立即根据建议修复,消除安全缺陷在最初的编码阶段,及早发现安全问题,降低安全问题的查找和修复的成本。

    产品功能:

    源代码安全漏洞的扫描分析功能:

    1.独特的数据流分析技术,跟踪被感染的、可疑的输入数据,直到该数据被不安全使用的全过程,并跨越整个软件的各个层次和编程语言的边界。
    2.独特的语义分析技术发现易于遭受攻击的语言函数或者过程,并理解它们使用的上下文环境,并标识出使用特定函数或者过程带来的软件安全的隐患
    3.独特的控制流分析技术精确地跟踪业务操作的先后顺序,发现因代码构造不合理而带来的软件安全隐患。
    4.独特的配置流分析技术分析软件的配置和代码的关系,发现在软件配置和代码之间,配置丢失或者不一致而带来的安全隐患
    5.独特的代码结构分析技术从代码的结构方面分析代码,识别代码结构不合理而带来的安全弱点和问题。
    6.自定义安全代码规则功能。

    源代码安全漏洞的审计功能:

    1.安全漏洞扫描结果的汇总和问题优先级别划分功能。
    2.安全审计自动导航功能
    3.安全问题定位和问题传递过程跟踪功能。
    4.安全问题查询和过滤功能。
    5.安全问题审计结果、审计类别划分和问题旁注功能。
    6.安全问题描述和推荐修复建议。

    产品特性:

    1.从多方面分析软件源代码,查找软件安全漏洞,是目前采用分析技术最多的,最能全面检查代码安全问题,其检查方式分别为:数据流、控制流、语义、配置流和代码结构

    2.是目前唯一的能跨越软件不同层次和不同语言边界的静态分析技术,能跟踪软件安全漏洞引入的过程。

    3.安全代码规则最全面,安全漏洞检查最彻底。目前包括150多种类别的安全漏洞,其安全代码规则多达50000多条。规则内容涉及ASP.NET, C/C++, C#, ColdFusion,Java, JSP, PL/SQL, T-SQL, XML,VB.NET and other .NET等多种语言

    4.支持多种国际软件安全的标准:OWASP、Payment Card Industry (PCI) Compliance、Federal Information Security Management Act(FISMA)Common Weakness Enumeration(CWE)….。

    5. 支持混合语言的分析,包括 ASP.NET, C/C++, C#, Java?, JSP, PL/SQL,T-SQL, VB.NET, XML and other .NET languages. Fortify SCA 支持 Windows?, Solaris?, Linux?, AIX? and Mac OS? X….等多种操作系统

    6. 支持自定义软件安全代码规则。

    7.集成软件开发环境(Microsoft Visual Studio, IBM RAD, and Eclipse.)和自动产品构建过程。

    8. 基于Web接口,能对企业多个项目进行集中的安全统计、分析和管理


    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2021-4-25 14:19
  • 签到天数: 13 天

    连续签到: 1 天

    [LV.3]测试连长

    3#
    发表于 2021-4-20 11:54:08 | 只看该作者
    没有网络安全就没有国家安全。结合网络安全在整个国内的大环境方针下,自主研发的国产化软件安全测试工具会越来越快的替代外厂,虽然目前国内自主研发的软件测试工具比较少,但却不乏有可以与外厂工具相媲美甚至在某些测试项上更成熟的,比如在静态代码安全分析中,中科院自主研发的Wukong源代码静态检测分析工具(SAST),就能够帮助客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,自动化修复软件代码中存在的缺陷漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 12:51 , Processed in 0.069118 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表