– hpe fortify sca
分析的流程
运用三步走的方法来执行源代码安全风险评估:
u 确定源代码安全风险评估的-目标
u 使用fortify执行初步扫描并分析安全问题结果
u -应用程序的架构所特有的代码安全问题
在第yi步中,我们使用威胁建模如果可用的结果以及对用于构建该应用的架构和技术的理解,其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中,我们将结合静态分析和轻量级的人工-来确定代码中关键点-很可能包含了更多漏洞的地方,初始扫描使我们能够优先考虑风险gao的区域。
在-主要代码过程中,我们的源代码安全分析人员对代码进行-来寻找常见安全问题,比如大家熟悉的缓冲区溢出、跨站点-,sql注入等。终-用于调查本应用程序架构所特有的问题,fortify sca,一般表现为威胁建模或安全特征中出现的威胁,如自定义身份验证或授权程序等。
fortifysca可配置的保护模式
拦截-数据,回应-的挑战,执行自订的动作
为生产下的应用系统进行执行期的安全分析
接近零影响运作效能
提供广泛而充分的安全事件报告
实时监测各种攻击和各种跟安全有关的行为
call site? 监测50种 api及侦cha12类黑de行为
为安全事件进行时间性关联分析
满足-机构规定的要求
pci, hippa, owasp top ten
fortifysca pta 无需源代码,部署简单方便
与qa测试活动结合,省时省力
自动化完成测试,提供安全漏洞信息,使修复漏洞更快,更容易
能达到较高的测试覆盖率,源代码检测工具fortify sca,发现更多安全漏洞,测试全mian
软件开发人员:企业软件外包商或者内部开发人员。主要对所开发项目的漏洞进行修复。
安全测试人员,源代码扫描工具fortify sca,主要从事使用fortify sca 对所有需要被测试项目的源代码进行安全测试。:一般为软件测试部的人员。
安全审计人员:主要从事软件安全漏洞审计的人员,一般与安全测试人员为同一个人。主要对所有项目的漏洞进行审计和漏洞信息发布。
项目管理人员:主要从事软件安全测试事宜的管理,-。以及与外包商/开发团队的协调工作。一般为安全处/部人员
|
登录后台
