西南源代码审计工具FORTIFY工具择优 华克斯信息

fortifysca服务可交付材料

源代码安全风险评估的目标文档描述了这些内容：

l  针对对黑ke感兴趣的资产、代码实现上的错误，这些错误将危及这些资产的安全，以及在使用的技术和编程语言中常见错误；

l  针对每一个已经识别漏洞的报告，包括所发现漏洞的概述、影响和---性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议；

l  终源代码安全风险评估报告详细说明本次风险评估结果、成果和整体印象、---期间发现的问题、进行额外---的建议，以及针对已确定漏洞进行补救的建议。

强化sca与强化ssc之间的差异

webinspect是与ssc---匹配的动态代码分析工具。不幸的是，他们没有任何---的ci集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。

实际上webinspect使用webinspect enterprise集成到ssc中，这个控制台连接到ssc，有效地创建了一个新版本的amp和运行在java或.net应用程序上的runtime产品以前称为rta，并且可以在运行时执行各种各样的事情记录/停止攻击等 - 

1

@keshi现在他们为jenkins提供插件，并且可以与jira集成。 - 克里希纳·潘迪2月23日16时5分13分

请说明，同样的---yzser---也称为sca由audit workbench和各种sca插件maven，jenkins，eclipse，visual studio，intellij，xcode等调用。 ssc不运行sca。通过建立---的软件降低安全风险securityfortify静态代码分析器sca由开发组和安全人员用于分析应用程序的源代码以获取安全问题。 ssc管理从sca输出的fpr文件。 - walthouser apr 14 16 at 21:07

fortify软件

强化静态代码分析器

使软件更快地生产

如何解决fortify报告的扫描问题

已经注意到以下错误消息，但是软件保障计划办公室还没有关于如何解决这些问题的指导。建议尝试使用以下步骤解决这些问题：

生成日志文件并查看它以获取有关该问题的更多信息

打开支持票帮助

联系fortify技术支持fortifytechsupport@hpe.com寻求帮助

如果这些步骤无法解决问题，请将您与fortify技术支持部门的通讯连同v＆v安全代码---资料一起提供，并在准备报告时将其纳入考量

请注意，这不是错误消息的完整列表，并将更多地变得广泛：

错误代码

错误信息

笔记

1意外的异常：---分析不适用

101文件。 。 。没有找到n / a

1002，1003解析文件n / a时出现意外的异常

1005数据流分析期间的意外异常n / a

1009构建调用图n / a时出现意外异常

1038初始分析阶段n / a中出现意外异常

1142在内部存储器管理期间发生意外错误。扫描将继续，但内存可能会迅速耗尽，扫描结果可能不完整。 n / a

1202无法解析符号。 。 。 n / a

1207配置文件。 。 。无法找到网络应用程序n / a

1211无法解析类型n / a

1213无法解析字段n / a

1216无法找到导入？n / a

1227尝试加载类路径存档时发生异常...文件可能已损坏或无法读取。 n / a

1228属性文件。 。 。以连续标记结束。该文件可能已损坏。 n / a

1232格式错误或io异常阻止了类文件。 。 。从被读取不适用

1236无法将以下aspx文件转换为分析模型。 n / a

1237以下对java符号的引用无法解决。某些实例可以通过调整提供给fortify的类路径来解决，但是在所有情况下都不能解决此问题。

1551,1552多个coldfusion错误无法解析组件，找不到函数，意外令牌等可以与使用不支持的coldfusion版本相关。

12002找不到web应用程序的部署描述符web.xml。 n / a

12004 java前端无法解析以下包含n / a

12004 python前端无法解析以下导入n / a

13509规则---错误可能是fortify错误，但需要确认

某些错误消息可能是fortify工具中的问题的结果。确认的问题以及如何处理这些问题，都会发布在oisswa博客中，以及有关解析/语法错误的技术说明。已确认的fortify问题也在本页顶部的表格中注明。

如果您在解决---或错误消息时遇到问题，请参阅我们的常见问题解答以获取有关打开支持票证的信息。

参考

参见参考技术说明