Application Lifecycle Management/Unified Functional Testing/LoadRunner Professional/Fortify SCA/WebInspect/SonarQube/AppScan等技术服务方案从四个方面加强企业安全.
提高应用系统安全
通过检测源代码并修复安全隐患,能够很大程度上减低系统安全风险,提高软件的自身安全性,从层面上来加强了整个安全体系的防护。
降低漏洞修复成本
越早发现问题进行修复,成本越低,可以在软件编码过程中帮助开发人员找出软件中的安全漏洞缺陷,并提供修复办法,降低漏洞修复成本。
建立安全开发体系
代码检测通过对开发流程的整合,实现代码检测融入开发流程,实现统一的代码安全管理目标,实现企业安全开发管理体系落地。
避免企业经济损失
企业依据代码审计报告对软件产品安全性进行评估,避免不安全的软件产品投入使用而带来巨大的经济损失
苏州华克斯信息科技有限公司创立于2012年,是一家先进的测试及应用安全产品服务提供商。基于业内先进的解决方案、丰富的技术实力以及丰富的服务经验,为互联网、金融、电力、汽车、高校、第三方检测机构等行业的广大用户,提供多元的软件检测及应用安全解决方案、应用安全技术服务和实施服务。
公司通过ISO9001质量管理体系和ISO27001信息安全管理体系认证,并拥有丰富且成熟的软件产品线及提供应用软件功能、性能、安全等自动化测试整体化解决方案。
客户案例
一、对比分析我们使用WebGoat做为测试用例,来分析一下两个产品的差异。
1、使用工具:
ØFortify SCA ØSonarQube
2、使用默认规则,不做规则调优。
3、扫描后直接导出报告,不做审计。
二、扫描问题总览
Fortify SCA扫描结果报告:
从上边可以看出:Fortify扫描出Critical和High级别的漏洞共计757条。
SonarQube扫描出阻断和严重级别的漏洞为28条,关于软件质量问题有2K+条。
三、Fortify扫描内容分析
Fortify扫描出来的内容,基本上都是和安全相关的信息。例如:ØPrivacy ViolationØCross-Site Scripting: ReflectedØCross-Site Scripting: PersistentØSQL Injection
SonarQube从七个维度来分析代码质量问题:
可靠性
安全性
可维护性
覆盖率
重复
大小
复杂度
问题
单论代码分析能力,拿SonarJava举例,对于大多数zui佳实践类型的问题,比如不该使用MD5,不要用主线程sleep等,都还是查的不错。但是真正严重的安全漏洞,比如SQL注入之类的污点传播类问题,一般涉及跨文件,函数,以及涉及对虚函数、数组、容器的处理,还要识别通过框架等配置的数据处理逻辑,那就无能为力。
这也是SonarQube分析器跟Fortify工具的差距所在。
以上信息由专业从事源代码审计工具fortify总代理的华克斯于2025/1/30 21:32:29发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2839587975.html
