北京源代码审计工具FORTIFY SCA询问报价「多图」

fortifysca报表及测试结果管理功能要求

·        

能够针对客户的个性化需求，勾选报表模板中的内容，并且可以自定义报表模板。包含加入用户企业的logo。

提供多种格式的检测报告，如：pdf、xml，word等。

提供将测试结果与owasp

2007/2010/2013 ---0漏洞的比较性报表。

能够编辑以往有效成功的修复经验描述在系统中，并可以整合在报告中输出，共享漏洞修复的经验。

测试结果可以以文件形式保存，无需数据库支持，减少部署时间和成本，也可以将测试结果作为测试资产集中存储在商用的数据库中，以便测试-和备份工作。

对企业中多个项目的多次测试结果进行统一管理，能够按项目或项目开发语言等多种方式查看测试结果的发展趋势，帮助管理人员定制安全策略。

fortify sca 扫描的结果如下：

fortify sca 的结果文件为.fpr 文件，包括详细的漏洞信息：漏

洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明 及修复建议等。如下：

分级报告漏洞的信息                      项目的源代码                 漏洞修复的方法

漏洞产生的全路

径的---信息

漏洞的详细说明

图2：foritfy awb  查看结果

3．fortify sca 支持的平台：

4．fortify

sca 支持的编程语言：

5．fortify sca plug-in

支持的有:

6．fortify sca 目前能够扫描的安全漏洞种类有：

目前fortify sca可以扫描出约 300

种漏洞，fortify将所有安全

漏洞整理分类，根据开发语言分项目，再细分为 8 个大类，约

300

个 子类：

fortify软件

强化静态代码分析器

使软件更快地生产

fortify软件如何工作？

fortify是用于查找软件代码中的安全漏洞的sca。我只是好奇这个软件在内部工作。我知道你需要配置一组代码将被运行的规则。但是如何才能在代码中找到漏洞。

有人有什么想法吗？

提前致谢。

强化

任何想法如何适用于ios应用程序？ fortify是否有任何mac软件通过我们可以扫描ios代码objective-c / swift代码？ - 

hp fortify sca有6个分析器：数据流，控制流，语义，结构，配置和缓冲。每个分析器都会发现不同类型的漏洞。

数据流量此分析仪检测潜在的漏洞，这些漏洞涉及受到潜在危险使用的污染数据用户控制输入。数据流分析器使用全局的，程序间的污染传播分析来检测源用户输入站点和信宿危险函数调用或操作之间的数据流。例如，数据流分析器检测用户控制的---长度的输入字符串是否被---到静态大小的缓冲区中，并检测用户控制的字符串是否用于构造sql查询文本。源代码安全风险评估对现有代码库进行分析，并对导致安全漏洞的代码构造进行定位。

控制流程此分析仪检测潜在的危险操作序列。通过分析程序中的控制流程，控制流程分析器确定一组操作是否以一定顺序执行。例如，控制流程分析器检测使用时间的检查/时间问题和未初始化的变量，并检查在使用之前是否正确配置了诸如xml读取器之类的实用程序。本服务主要帮助企业查找和分析已有的软件源代码,识别其安全风险,并提供详细的分析和修复建议,帮助企业尽快尽早修复软件代码的安全缺陷,保障系统的安全性,从而保护企业---软件的安全性,保护企业信息系统资产及正常的信息化服务。

结构这可以检测程序的结构或定义中潜在的危险缺陷。例如，结构分析器检测对java servlet中成员变量的分配，识别未声明为static final的记录器的使用，以及由于总是为false的谓词将永远不会执行的死代码的实例。