{Fortify SCA}是静态应用程序安全性测试 (SAST) 产品,可供开发团队和Security expert分析源代码、检测源代码的安全漏洞。帮助开发人员更快更轻松地识别问题并排定问题优先级,然后加以解决。
关键功能
1、Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。
2、支持25+ 种编程语言(ABAP/BSP、Script/MXML (Flex)、、VB.NET、 C# (.NET) C/C++ 、Classic ASP、COBOL 、ColdFusion CFML 、HTML、 Java(包括 Android)、JavaScript/AJAX、JSP 、Objective-C 、PHP 、PL/SQL、Python 、T-SQL 、 Ruby、 Swift、 Visual Basic、 VBScript、 XML、 Scala 等)的分析。
3、支持超过 911,000 个组件级 API分析。
4、可检测超过 946+ 种漏洞类别。
5、支持所有主流平台(window/linux/macOS)、构建环境和 IDE。
6、支持国际安全标准(OWASP T 10 2017、OWASP Mobile T10、 SNAS25 、CWE、PCI SSF、PCI DSS、GDPR、MISRA、DISA、STIG、FISMA 等)。
SonarQube扫描出来的内容,基本上都与代码质量相关联的。
例如:
ØModifiers should be declared in the correct order
ØSecti of code should not be commented out
ØCtructors should not be used to instantiate "String", "BigInteger", "BigDecimal" and primitive-wrapper classes
ØString function use should be optimized for single characters
ØString literals should not be duplicated
SonarQube从七个维度来分析代码质量问题:
可靠性
安全性
可维护性
覆盖率
重复
大小
复杂度
问题
单论代码分析能力,拿SonarJava举例,对于大多数zui佳实践类型的问题,比如不该使用MD5,不要用主线程sleep等,都还是查的不错。但是真正严重的安全漏洞,比如SQL注入之类的污点传播类问题,一般涉及跨文件,函数,以及涉及对虚函数、数组、容器的处理,还要识别通过框架等配置的数据处理逻辑,那就无能为力。
这也是SonarQube分析器跟Fortify工具的差距所在。
· Regex Rule for FileNameRegex and ContentRegex
· Structural Rule for Cloud Configuration in Nested Objects
· Structural Rule for Cloud Configuration in Single Object
· Structural Rule for Terraform Configuration in Nested Blocks
· Structural Rule for Terraform Configuration in Single Block
· Terraform Bad Practices: Untrusted Module in Use
语言支持更新:
· Apex
· Go
· HCL
· JavaScript/TypeScript
· JSON
· Kotlin
· PHP
· Python
· YAML
其他配置文件类型支持:
· configuration
· docker
· xml
以上信息由专业从事源代码审计工具fortify版本的华克斯于2024/12/14 10:29:11发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2824854721.html
