fortifySCA审计功能要求
·
对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的合理划分。如Critical,High,Medium,Low四个级别。
·
用户能够根据企业自身需要来调整和修改问题的默认分级策略,方便审计。
·
迅速、准确定位某一特定安全漏洞所在的源代码行,对问题产生的整个过程进行跟踪,并能以图形化的形式展现。
·
提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。
·
提供与之前扫描结果的比较,指出本次扫描出来的新问题,并且能够与以前的审计结果进行合并,减少重复审计工作。
·
支持按文件名、API、漏洞类型、严重等级等进行分类、过滤、查询、统计。支持对漏洞信息的全文检索功能,可以从其中快速检索到指ding类别或者名称的漏洞信息。
FortifySCA系统集成和可扩展性
·
可以支持和QC、Bugzilla等主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理,与开发团队现有的流程相融合。
·
漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。 提高工作效率,实现集中管理。
·
可以支持和主流持续集成平台的整合如Hudson/Jenkins,实现从获取xin代码、构建编译、安全测试、结果发布的全自动化,提高工作效率,节省人力成本。
·
可以支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析,具有强大的可扩展性,提高应用安全测试结果的准确性,并且得到精准的定位和修复。
Fortify SCA 简介
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找,从而将源代码中存在
的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的 提供。
1.Fortify
SCA 扫描引擎介绍:
Foritfy SCA
主要包含的五大分析引擎:
z 数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生
的安全问题。
z 语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
z 结构引擎:分析程序上下文环境,结构中的安全问题。
z 控制流引擎:分析程序特定时间,状态下执行操作指令的安全 问题。
z 配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全
问题。
z 特有的 X-Tier™跟zong器:跨跃项目的上下层次,贯穿程序来综合 分析问题
以上信息由专业从事源代码审计工具fortify sca价格的华克斯于2024/6/27 5:47:47发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2776393173.html
下一条:结构加固施工承诺守信「多图」
