华东源代码扫描工具FORTIFY规则库承诺守信「华克斯」

fortify sca 的工作原理：

foritfy sca 首先通过调用语言的编译器或者解释器把前端的语言 代码如 java，c/c++源代码转换成一种中间媒体文件 nstnormal syntax tree将其源代码之间的调用关系，执行环境，上下文等分析 清楚。·支持将测试结果在企业内部进行发布，使开发人员，测试人员，安全人员和管理人员可以通过web浏览器进行查看和审计。然后再通过上述的五大分析引擎从五个切面来分析这个 nst， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。-形成 包含详细漏洞信息的 fpr 结果文件，用 awb 打开查看。

fortifysca庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

        c,

c++, .net, java, jsp,pl/sql, t-sql, xml,

cfml

        javasc ript, php, asp, vb, vbsc ript

精que地定位漏洞的产生的全路径

支持不同的软件开发平台

      platform:

windows, solaris, red hat linux,

                   mac os x, hp-ux, ibm

aix

      ides       :

visual studio, eclipse, rad, wsad

source code -ysis engine源代码分析引擎

            数据流分析引擎------,记录并分析程序中的数据传递过程的安全问题                    

           语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题

           结构分析引擎-----分析程序上下文环境,结构中的安全问题                        

           控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题

           配置分析引擎 -----分析项目配置文件中的-息和配置缺失的安全问题                    

           特有的x-tier?-qi-----跨跃项目的上下层次,贯穿程序来综合分析问题

fortify sca产品组件及功能

source

code

-ysis

engine源代码分析引擎

 配置分析引擎

-----分析项目配置文件中的-息和配置缺失的安全问题

secure

coding

rulepacks

?安全编码规则包

audit

workbench-工作台

custom

rule

editor

&

rulewizard(规则自定义编辑器和向导)

developerdesktop

(ide

插件

fortify sca 分析安全漏洞的标准

owasp top 2004/2007/2010/2013/2014(开放式web应用程序安全项目)

2. pci1.1/1.2/2.0/3.0(国际-ka资料安全

技术pci标准)

3. wasc24+2(web应用安全联合威胁分类)

4. nist sp800-53rev.4(美国-与技术研究院)

5. fisma(联邦信息安全管理法案)

6. sans top25 2009/2010/2011(it安全与研究组织)

7. cwe(mitre公司安全漏洞词典)

强化sca与强化ssc之间的差异

webinspect是与ssc-匹配的动态代码分析工具。不幸的是，他们没有任何-的ci集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。

实际上webinspect使用webinspect enterprise集成到ssc中，这个控制台连接到ssc，有效地创建了一个新版本的amp和运行在java或.net应用程序上的runtime产品以前称为rta，并且可以在运行时执行各种各样的事情记录/停止攻击等 - 

1

@keshi现在他们为jenkins提供插件，并且可以与jira集成。 - 克里希纳·潘迪2月23日16时5分13分

请说明，同样的-yzser-也称为sca由audit workbench和各种sca插件maven，jenkins，eclipse，visual studio，intellij，xcode等调用。z控制流引擎：分析程序特定时间,状态下执行操作指令的安全问题。 ssc不运行sca。 ssc管理从sca输出的fpr文件。 - walthouser apr 14 16 at 21:07