FortifySCA优点
Secure Coding Rulepacks ?(安全编码规则包)
Audit Workbench(审查工作台)
Custom Rule Editor & Custom
Rule Wizard(规则自定义编辑器和向导)
Developer Desktop (IDE 插件)
其主要特点:
1.集中管理
2.化分优先级
3.标记趋势
4.
协同工作平台
5.产生多种报表
HP Fortify
Static
Code Analyzer
(SCA)
静态分析–
发现和修复源代码的安全隐患
用户场景:
用户拥有开发团队,拥有源代码
优势:
跨语言
跨操作平台
跨IDE环境
扫描速度快
详细的中文报告
发现安全漏洞的准确性和全mian性
拥有业界***庞大***权wei的代码漏洞规则库
拥有***da的市场份额和***gao的用hu口碑
支持的语音:
ASP.Net
VB.Net
C#.Net
ASP
VBScript
VB6
Java(Android)
JSP
JavaScript
HTML
Fortify软件
强化静态代码分析器
使软件更快地生产
资源的
数据表
通过早期安全测试构建更好的代码
(PDF 260 KB)
学到更多
解决方案简介
使用Fortify SCA保护您的企业软件
(PDF 489 KB)
试用软件
立即开始您的WebInspect试用版
视频
Denim Group加强了Fortify的应用
(2.26分钟)
看视频
相关产品,解决方案和服务
应用安全测试
按需加强
应用安全即服务。
软件安全
Fortify软件安全中心
管理整个安全SDLC的软件风险 - 从开发到***和生产。
DAST
强化WebInspect
自动化的动态安全测试工具,以查找和优先考虑可利用的网络漏洞。
移动安全
移动应用安全
将您的移动堆栈从设备保护到网络通信到服务器。
安全情报服务
威胁防御服务
发现并实施针对您的企业***da威胁的有针对性的解决方案。
应用安全
强化应用安全性
静态和动态应用程序安全测试,以便在利用漏洞之前查找和修复漏洞。
应用安全软件
软件***
使您的软件免受攻击。
参与我们的应用安全社区
保护您的资产博客
获得IT安全洞察力,在世界各地的攻击者面前保护您的业务。
安全研究博客
获得创新的研究,观察和更新,以帮助您主动识别威胁和管理风险。
Protect724社区
加入HPE安全社区,共享,搜索,协作解决方案并获得反馈。
Twitter上的HPE Security
获取关于混合环境风险的***xin推文,并防御***威胁。
LinkedIn上的HPE Security
与***联系,并讨论混合环境中新威胁和风险的***xin信息。
Facebook上的HPE软件
与同行和***一起讨论如何使HPE软件为您工作。
Google+上的HPE软件
讨论如何使您的企业应用程序和信息为您工作的***xin信息。
HPE业务洞察
获得来自IT***的战略见解,帮助他人定义,测量和实现更好的IT表现。
语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。
配置此分析器在应用程序的部署配置文件中搜索错误,弱点和策略违规。
缓冲区此分析仪检测缓冲区溢出漏洞,涉及写入或读取比缓冲区容纳的更多数据。
分享这个***
于十二月二十四日十二时十七分
感谢你非常有用的信息。你知道这些分析仪在内部工作吗?如果您提供一些细节,我将非常感谢。 - 新手十二月27'12 at 4:22
1
有一个很好的,但干燥的书的主题:amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09
现在还有一个内容分析器,尽管这与配置分析器类似,除非在非配置文件中搜索问题(例如查找HTML,JSP for XPath匹配) - lavamunky 11月28日13日11:38
@LaJmOn有一个非常好的***,但在完全不同的抽象层次,我可以用另一种方式回答这个问题:
您的源代码被转换为中间模型,该模型针对SCA的分析进行了优化。
某些类型的代码需要多个阶段的翻译。例如,需要先将C#文件编译成一个debug.DLL或.EXE文件,然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language(MSIL)。而像其他文件(如Java文件或ASP文件)由相应的Fortify SCA翻译器一次翻译成该语言。然后再通过上述的五大分析引擎从五个切面来分析这个NST,匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。
SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。
匹配被写入FPR文件,漏洞匹配信息,安全建议,源代码,源交叉引用和代码导航信息,用户过滤规范,任何自定义规则和数字签名都压缩到包中。
版权所有©2024 天助网