西南源代码检测工具FORTIFY扫描承诺守信「多图」

fortifysca报表及测试结果管理功能要求

·        

能够针对客户的个性化需求，勾选报表模板中的内容，并且可以自定义报表模板。包含加入用户企业的logo。

提供多种格式的检测报告，如：pdf、xml，word等。

提供将测试结果与owasp

2007/2010/2013 ---0漏洞的比较性报表。

能够编辑以往有效成功的修复经验描述在系统中，并可以整合在报告中输出，共享漏洞修复的经验。

测试结果可以以文件形式保存，无需数据库支持，减少部署时间和成本，也可以将测试结果作为测试资产集中存储在商用的数据库中，以便测试-和备份工作。

对企业中多个项目的多次测试结果进行统一管理，能够按项目或项目开发语言等多种方式查看测试结果的发展趋势，帮助管理人员定制安全策略。

fortify sca 简介

fortify sca 是一个静态的、白盒的软件源代码安全测试工具。对于在并发扫描---模式下使用 fortify 的客户，fortify 静态代码分析器现在可以使用 fortify ---和基础架构管理器来获取---密钥，而不是传统的 fortify.license 文件。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在

的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的 提供。

1．fortify

sca 扫描引擎介绍：

foritfy   sca

主要包含的五大分析引擎：

z   数据流引擎：---,记录并分析程序中的数据传递过程所产生

的安全问题。

z 语义引擎：分析程序中不安全的函数,方法的使用的安全问题。

z 结构引擎：分析程序上下文环境,结构中的安全问题。

z   控制流引擎：分析程序特定时间,状态下执行操作指令的安全 问题。

z   配置引擎：分析项目配置文件中的---息和配置缺失的安全

问题。

z   特有的 x-tier?跟zong器：跨跃项目的上下层次,贯穿程序来综合 分析问题

fortify软件

强化静态代码分析器

使软件更快地生产

任何想法如何适用于ios应用程序？ fortify是否有任何mac软件通过我们可以扫描ios代码objective-c / swift代码？ 

还有一个@doug的补充上面提到的---...从fortify 16.20开始，sca现在支持直接扫描.net c＃/ asp / vb源代码 - 不再需要预编译。

是 - fortify sca支持扫描objective-c和swift for ios以及约20种其他语言和众多框架。在fortify sca数据表中查看更多信息：

华克斯

您还可以通过fortify on demand上的saas来利用fortify sca，并让---运行扫描并为您审核结果：

转移景观

语言支持也得到了扩展，完全支持php，javasc ript，cobol以及所有添加到版本5的asp和basic的classic-non-.net版本。fortify sca以---直支持c＃，vb.net，java和c / c ++，coldfusion和存储过程语言，如microsoft tsql和oracle pl / sql。·对多层次、多语言的项目，可以跨层次、跨语言地对整个项目进行分析。

“从基于com的语言到.net版本的迁移速度并没有像我们以前那样快，”meftah解释说。 “这些com语言的安装基础很大，我们从我们的安装基础和其他方面得到了很多查询。”

sans institute互联网风暴中心---研究员johannes ullrich表示，fortify sca等代码分析工具对于成长型企业开发商店---。

“我认为[代码分析工具]的部署方式不足，我看到很少使用它们，通常只适用于大型企业项目，”ullrich说。 “这是一个---的时间保护，它没有找到所有的漏洞，但它找到标准的东西，它需要很多繁忙的代码---。

fortify sca旨在与现有工具和ide集成，包括microsoft visual studio，eclipse和ibm rapid application developerrad。基于java的套件运行在各种操作系统上，包括windows，linux，mac os x和各种各样的unix。hpesecurityfortify继续创建并---新功能，进一步自动化和简化应用安全测试程序。

---的基准价格为每位开发人员约1,200美元，另外还需支付维护费用，并订阅更新的代码规则以防止出现的漏洞。

关于作者

迈克尔·德斯蒙德michael desmond是1105媒体企业计算组织的编辑兼作家。