Fortify sca——软件安全的***

领xian的市场份额

全世界***da的***银行的9家、大型IT基建供应商、大型独立软体公司

支持市场上***流xing、***样化的编程語言

领xian解決方案

获奖产品支持整个开发周期

超过150项***

***庞大的安全编码规则包

***的安装部署

与Fortune100

企业及大型 ISVs

开发出來的***jia做法

由世界顶jian安全***鉴定

软件安全问题的产生的根源：

           如今的黑ke攻击主要利用软件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。

Fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。

配置此分析器在应用程序的部署配置文件中搜索错误，弱点和策略违规。

缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。

分享这个***

于十二月二十四日十二时十七分

感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，我将非常感谢。 - 新手十二月27'12 at 4:22

1

有一个很好的，但干燥的书的主题：amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一个非常好的***，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：

您的源代码被转换为中间模型，该模型针对SCA的分析进行了优化。

某些类型的代码需要多个阶段的翻译。例如，需要先将C＃文件编译成一个debug.DLL或.EXE文件，然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相应的Fortify SCA翻译器一次翻译成该语言。Net,Java,JSP,PL/SQL,T-SQL,XML,CFML,JavaScript,PHP,ASP,VB,VBScript。

SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入FPR文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。

如何修正HP Fortify SCA报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如HP Fortify SCA，被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多***来说，HP Fortify SCA的报告被视为麻烦制造者，因为它们虽然指出了弱点（不论是真的或是误报），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

Lucent Sky AVM和静态程序码扫描工具一样会指出弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站脚本（XSS），SQL注入和路径处理这些常见的弱点。

以.NET（C＃和VB.NET）和Java应用程式来说，Lucent Sky AVM可以修正***达90％所找到的弱点。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只会告诉你弱点在哪里，而Lucent Sky AVM会指出它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）HP Fortify SCA是被设计来供资安***人士使用，因此设计理念是找出大量的结果，再依赖资讯安全***来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点，并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。你可以深入了解Lucent Sky AMV的修正流程。·对多层次、多语言的项目，可以跨层次、跨语言地对整个项目进行分析。