Fortify SSC
无论软件基于桌面端、移动端或者云端,Fortify SSC 都能帮助企业管理软件安全风险,确保其符合内外部的安全规定。
同时,Fortify SSC 还凭借着先进的静态/动态安全测试功能,以及主动安全管理的集成框架,帮助企业识别在开发过程、遗留应用程序以及整个软件开发生命周期中的风险,加强防御风险的能力。蕞后,尽管 SAP 开发小组分散办公,但公司团队可以在 Fortify SSC 内整合并跟踪全部结果。
Fortify SCA产品特性:
1.从多方面分析软件源代码,查找软件安全漏洞,是目前采用分析技术的,检查代码安全问题,其检查方式分别为:数据流、控制流、语义、配置流和代码结构
2.是目前能跨越软件不同层次和不同语言边界的静态分析技术,能安全漏洞引入的过程。
3.安全代码规则面,安全漏洞检查。目前包括150多种类别的安全漏洞,其安全代码规则多达50000多条。规则内容涉及, C/C++, C#, ColdFusion,Java, JSP, PL/SQL, T-SQL, XML,VB.NET and other .NET等多种语言
4.支持多种国际软件安全的标准:OWASP、Payment Card Industry (PCI) Compliance、Federal Informati0n Security Management Act(FISMA)Common Weakness Enumeration(CWE)….。
5. 支持混合语言的分析,包括 , C/C++, C#, Java?, JSP, PL/SQL,T-SQL, VB.NET, XML and other .NET languages. Fortify SCA 支持 Windows, Solaris, Linux, AIX,and Mac OS ….等多种操作系统
6. 支持自定义软件安全代码规则。
7.集成软件开发环境(Microsoft Visual Studio, IBM RAD, and Eclipse.)和自动产品构建过程。
8. 基于Web接口,能对企业多个项目进行集中的安全统计、分析和管理
进行安全扫描_Fortify Sca自定义扫描规则
源代码编写
1. 编码规范尽量使用fortify认可的安全库函数,如ESAPI,使用ESAPI后fortify sca会把漏洞标记为低危,是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数
2. 使用注解(针对java)如果我们用过SonarQube,我们会发现有两种修改代码的方式来解决误报。
注释
在被误判的代码行后面加上注释://NOSONAR
String name = user.getName(); //NOSONAR
注解
在类或方法上面加上 @SuppressWarnings 注解
以上信息由专业从事源代码扫描工具fortify服务商的华克斯于2024/5/1 12:16:48发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2745189078.html