Fortify SCA 主要特性
1、覆盖大部分对友好的语言,支持:
ABAP/BSP、Apex、、C# (.NET)、C/ C++、Classic、ASP(与 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等
2、 灵活的部署选项适应团队开发环境,
比如:Fortify On Demand 允许团队在完全基于 SaaS 的环境中工作;Fortify Hosted 通过在隔离的虚拟环境中工作,完全控制用户数据,为您提供 SaaS 和内部部署的效果;Fortify On-Prem 允许团队对增强解决方案的所有方面有的控制权。
3、 安全助理,为开发人员提供实时的代码、安全分析和结果。
它提供了结构和配置分析器,这些分析器是专门为速度和效率而建立的,以支持我们即时的安全反馈工具;安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。
安全助理还可以作为开发人员的额外工作助手,与静态扫描结合使用,帮助获得更的安全问题视图。目前,所有 Fortify SCA 和Fortify On-Prem SCA 的客户无需额外的许可证或费用,即可使用安全助理。
fottify全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
FortifySCA支持的21语言,分别是如下图:
Fortify相比codeql的优势在于:
商用工具,拥有许多预设规则,比较成熟。规则开发模式比较局限,但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。
Fortify是一款商业级的源码扫描工具,其工作原理和codeql类似,甚至一些规则编写的语法都很相似。
HP Fortify SCA采用的X-Tier数据流程分析技术,完整分析各种程序语言之执行流程、数据输入/输出及程序语法,即使同一个应用系统中包含了不同语言的源代码,也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则(Rulepack),让蕞新的弱点可以被发现并修补,使用者也可以自行定义审计规则,针对特殊程序编写规则或要求进行检查。
以上信息由专业从事源代码审计工具fortify价格表的华克斯于2025/3/8 14:35:01发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2846572364.html
上一条:杂物电梯价格在线咨询 苏州法奥
