商盟旺铺
华东源代码检测工具fortify价格表诚信企业「华克斯」
来源:2592作者:2022/4/22 10:37:00






fortifySCA审计功能要求

·        

对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的合理划分。如Critical,High,Medium,Low四个级别。

用户能够根据企业自身需要来调整和修改问题的默认分级策略,方便审计。

迅速、准确定位某一特定安全漏洞所在的源代码行,对问题产生的整个过程进行跟踪,并能以图形化的形式展现。

提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。

提供与之前扫描结果的比较,指出本次扫描出来的新问题,并且能够与以前的审计结果进行合并,减少重复审计工作。

支持按文件名、API、漏洞类型、严重等级等进行分类、过滤、查询、统计。支持对漏洞信息的全文检索功能,可以从其中快速检索到指ding类别或者名称的漏洞信息。


FortifySCA优点

Secure Coding Rulepacks ?(安全编码规则包)

Audit Workbench(审查工作台)

Custom Rule Editor & Custom

Rule Wizard(规则自定义编辑器和向导)

Developer Desktop (IDE 插件)

其主要特点:

        1.集中管理

        2.化分优先级

        3.标记趋势

        4.

协同工作平台

        5.产生多种报表


Fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。

配置此分析器在应用程序的部署配置文件中搜索错误,弱点和策略违规。

缓冲区此分析仪检测缓冲区溢出漏洞,涉及写入或读取比缓冲区容纳的更多数据。

分享这个***

于十二月二十四日十二时十七分


感谢你非常有用的信息。你知道这些分析仪在内部工作吗?如果您提供一些细节,我将非常感谢。 - 新手十二月27'12 at 4:22

1

有一个很好的,但干燥的书的主题:amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

现在还有一个内容分析器,尽管这与配置分析器类似,除非在非配置文件中搜索问题(例如查找HTML,JSP for XPath匹配) - lavamunky 11月28日13日11:38


@LaJmOn有一个非常好的***,但在完全不同的抽象层次,我可以用另一种方式回答这个问题:

您的源代码被转换为中间模型,该模型针对SCA的分析进行了优化。

某些类型的代码需要多个阶段的翻译。学到更多应用安全强化应用安全性静态和动态应用程序安全测试,以便在利用漏洞之前查找和修复漏洞。例如,需要先将C#文件编译成一个debug.DLL或.EXE文件,然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language(MSIL)。而像其他文件(如Java文件或ASP文件)由相应的Fortify SCA翻译器一次翻译成该语言。

SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入FPR文件,漏洞匹配信息,安全建议,源代码,源交叉引用和代码导航信息,用户过滤规范,任何自定义规则和数字签名都压缩到包中。


转移景观

语言支持也得到了扩展,完全支持PHP,JavaScript,COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。·提供灵活的扫描分析方式,如支持用IDE插件直接扫描程序的目录,支持在命令行下扫描等。Fortify SCA以前一直支持C#,VB.NET,Java和C / C ++,ColdFusion和存储过程语言,如Microsoft TSQL和Oracle PL / SQL。

“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快,”Meftah解释说。 “这些COM语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”

SANS Institute互联网风暴中心***研究员Johannes Ullrich表示,Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。

“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”Ullrich说。 “这是一个巨大的时间保护,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码审查。

Fortify SCA旨在与现有工具和IDE集成,包括Microsoft Visual Studio,Eclipse和IBM Rapid Application Developer(RAD)。Twitter上的HPESecurityLinkedIn上的HPESecurity与***联系,并讨论混合环境中新威胁和风险的***xin信息。基于Java的套件运行在各种操作系统上,包括Windows,Linux,Mac OS X和各种各样的Unix。

许可证的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。

关于作者

迈克尔·德斯蒙德(Michael Desmond)是1105媒体企业计算组织的编辑兼作家。



华克斯 (业务联系人)

13862561363

商户名称:苏州华克斯信息科技有限公司

版权所有©2024 天助网