Fortify SCA是自动静态代码分析可帮助开发人员消除漏洞,并构建安全的软件。
主要功能
1、通过集成式 SAST,安全编码;通过与 IDE 集成,开发人员可以在编码过程中实时发现并修复安全缺陷。
2、覆盖开发人员使用的语言;获得、准确的语言覆盖范围,并实现合规性。
3、启动快速的自动化扫描;启动针对覆盖范围或速度优化过的自动化扫描。
4、以 DevOps 速度修复问题;利用我们丰富的分析结果,深入研究源代码详细信息,使您能够快速分类并修复复杂的安全问题。
5、在 CI/CD 中自动实现安全;自动化扫描,为开发人员保证安全。
6、扩展 AppSec 程序;借助快速、高度优化的静态扫描,保护自定义的开源代码。
Fortify SSC
无论软件基于桌面端、移动端或者云端,Fortify SSC 都能帮助企业管理软件安全风险,确保其符合内外部的安全规定。
同时,Fortify SSC 还凭借着先进的静态/动态安全测试功能,以及主动安全管理的集成框架,帮助企业识别在开发过程、遗留应用程序以及整个软件开发生命周期中的风险,加强防御风险的能力。蕞后,尽管 SAP 开发小组分散办公,但公司团队可以在 Fortify SSC 内整合并跟踪全部结果。
Fortify “Project Summary(项目摘要)”面板:
“Project Summary(项目摘要)”面板提供了关于扫描的详细信息。
“Summary(摘要)”选项卡
“Certification(认证)”选项卡
“Build Information(Build 信息)”选项卡
“Analysis Information(分析信息)”选项卡
项目摘要面板
“Summary(摘要)”选项卡:
“Summary(摘要)”选项卡显示了关于本项目的信息。
“Certification(认证)”选项卡:
“Certification(认证)”选项卡显示了结果认证状态。结果认证用于检查 FPR 文件是否与 Fortify SCA 所生成的文件一致。
Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples\basic\php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
以上信息由专业从事源代码扫描工具fortify规则库的华克斯于2024/6/30 10:00:39发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2778283121.html
上一条:室内机柜空调价格信息推荐「多图」
