一、 Fortify SCA概述
1、Source Code Analysis 阶段概述
Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段:
转换:使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。
扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。
校验:确保所有源文件均包含在扫描过程中,使用的是正确的规则包,且没有报告重大错误。
2、安全编码规则包概述
安全编码规则包是 Fortify Software 安全研究小组多年软件安全经验的体现,并且经过其不断努力改进而成。这些规则是通过对编码理论和常用编码实践的研究,而取得的软件安全知识的巨大积累,并且在 Fortify Software 安全研究小组的努力下不断扩展和改进。每个安全编码规则包均包含大量的规则,每个规则定义了一个被 source code analysis 检测出的特定异常行为。
一旦检测出安全问题,安全编码规则包会提供有关问题的信息,让开发人员能够计划并实施修复工作,这样比研究问题的安全细节更为有效。这些信息包括关于问题类别的具体信息、该问题会如何者利用,以及开发人员如何确保代码不受此漏洞的威胁。
安全编码规则包支持多种编程语言,也支持各种经过扩展的第三方库和配置文件。
有关当前安全编码规则包的信息,请参见《安全编码规则包参考》。
Fortify SCA的十一大优势:
1.FortifySCA支持系统平台是的,能扫描的语言种类是的。
2.FortifySCA能面地(五个方面)分析源代码中存在的问题。
3.FortifySCA能够扫描出来300多种漏洞,业界中是的。
4.FortifySCA的测试速度是比较快的,约15分种1万行。
5.FortifySCA提供了强大的审计平台和详细的漏洞信息。
6.FortifvSCA提供了漏洞的详细说明和相应的修复建议。
7.FortifySCA提供了中文详细说明和相应的修复建议信息。
8.FortifySCA支持成熟的IDE开发环境,如EclipseVisual Studio
9.FortifySCA操作简单,使用方便,易用。
10.FortifySCA提供多种漏洞报表。
11.FortifvSCA获得过许多国际大奖,目前是同类产品
代码质量利器:Fortify SCA使用指南
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
在使用上SCA主要按照如下步骤进行:
步骤1: 单独运行SCA或者将SCA与构建工具进行集成
步骤2: 将代码转换为临时的中间格式
步骤3: 对转换的中间格式的代码进行扫描,生成安全合规性的报告
步骤4: 对结果进行审计,一般通过使用Fortify Audit Workbench打开FPR(Fortify Project Results)文件或者将结果上传至SSC(Fortify Software Security Center)来进行分析,从而直接看到蕞终的结果信息
以上信息由专业从事源代码检测工具fortify代理商的华克斯于2025/8/31 21:11:41发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2885341881.html
