FortifySCA系统集成和可扩展性
·
可以支持和QC、Bugzilla等主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理,与开发团队现有的流程相融合。
漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。 提高工作效率,实现集中管理。
可以支持和主流持续集成平台的整合如Hudson/Jenkins,实现从获取***xin代码、构建编译、安全测试、结果发布的全自动化,提高工作效率,节省人力成本。
可以支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析,具有强大的可扩展性,提高应用安全测试结果的准确性,并且得到***的定位和修复。
Fortify软件
强化静态代码分析器
使软件更快地生产
如何解决Fortify报告的扫描问题
跳到元数据结束
由Matthew Condell创建,***后由Charles Williams于二零零七年六月二十六日修改,转到元数据的开始
这个页面已经被供应商公开了
图标
题
在扫描我的应用程序时,Fortify报告了错误或警告。如何解决这些错误?
回答
Fortify可能会报告一些不同的错误消息。这里将列出常见的错误消息以及指向其他技术说明的指针,其中提供了有关如何解决这些问题的信息。要检索错误消息列表,请按照“如何查看Fortify报告的错误消息”中的说明进行操作。它也可能有助于生成调试日志文件,可以更好地了解问题。z配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
常见的错误消息及其解决方案包括:
错误代码
错误信息
笔记
N / A分析期间没有发生警告没有发生错误。扫描很好去
N / A执行ASP.NET预编译时出错如何解决“执行ASP.NET预编译时出错”
-1错位的关闭标签[...]此错误可能不会影响扫描结果,但建议检查引用的文件以查看是否有错放的HTML标签。
1001,1381,1554,10000,...
解析文件或语法错误时出错如何解决文件解析或语法错误
1103转换器执行失败。这是Fortify 16.20扫描C#6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息:Fortify 16.20“C#6 / VB 14”中的“转换器执行失败”错误
1105,1480没有足够的内存可用来完成分析增加分配给Fortify的内存量:如何增加Fortify进行翻译的内存
1114功能。 。 。对于详尽的数据流分析来说太复杂了,进一步的分析将被跳过(堆栈)如何解决“功能...太复杂”错误
HP Fortify静态代码分析器
Fortify SCA 5.0设置了一个全mian的新酒吧
Fortify SCA 5.0通过分析360技术增强了行业领xian的分析仪功能,可以处理安全开发面临的***da问题,以及新的不断发展的攻击。通过分析360,Fortify SCA减少了错误的否定,以确保没有错过,同时***da限度地减少误报,所以开发侧重于关键的代码问题。学到更多SAST强化静态代码分析器自动静态代码分析,帮助开发人员消除漏洞并构建安全软件。使用Fortify SCA 5.0,已经添加或增强了分析功能,以提高精度,包括:
- ***多维色彩传播 - 此功能有助于
找到远程可利用的错误,这对于查找特别有用
隐私管理故障和其他与PCI有关的错误。
- 基于约束的漏洞排名 - 提取一组布尔值
来自代码的约束方程,并使用约束求解器进行排序
错误的编码实践可能被利用的可能性的。
- 过程间数据流分析 - 使用有限状态自动机
通过代码模拟可能的执行路径。
- 关联故障诊断 - 允许用户消除整个
通过将跟随相同的结果相关联的假阳性类
代码模式。
Fortify SCA 5.0增加了对四种新编程语言的支持
- 经典ASP - 今天,成千上万的遗留应用程序写入
经典的ASP需要针对普通的,***的
漏洞,如SQL注入和跨站点脚本。
- COBOL - 几十年前发明 - 在应用程序安全性之前很久
COBOL的重要性随着企业曝光而重新浮出水面
系统通过面向服务架构(SOA)的举措。
- JavaScript - 今天,JavaScript可能是增长***快的编程
语言 - 其安全问题已经有很好的记录 - 包括
Fortify发现JavaScript劫持。
- PHP - ***近的扬基集团报告“Web 2.0安全列车残骸”
(Andrew Jaquith,2017年10月),引用“几个流行应用程序”
基于PHP框架,如phpBB,具有惊人的安全性
跟踪记录,“补充说,”PHP开发人员往往是“scripters”
没有正式的安全培训。“强化SCA 5.0给了大的和
越来越多的PHP开发人员自动清理系统代码。
要了解有关Fortify SCA 5.0的更多信息,请于11月13日上午11点至12点举行Fortify网络研讨会“强化SCA 5.0:无边界应用安全”。 Pacific,华克斯。
关于Fortify Software,Inc.
Fortify?软件产品可以保护企业免受关键业务软件应用程序安全漏洞所带来的威胁。其软件安全产品 - Fortify SCA,Fortify Manager,Fortify Tracer和Fortify Defender - 通过自动化开发和部署安全应用程序的关键流程降低成本和安全风险。 Fortify Software的客户包括***机构和财富500强企业,如金融服务,医liao保健,电子商务,电信,出版,保险,系统集成和信息管理。该公司得到世界ji软件安全***和合作伙伴的支持。如果您想要扫描扫描的差异,趋势,历史等,请在上传FPR一段时间后使用SSC进行报告。更多信息,
强化SCA
我开始使用自定义扩展名#4,并希望自动化Fortify扫描。这是我第yi次真的不确定这应该是什么样的扩展。它是一个源代码控制分析器,所以感觉它应该是一个报告动作,如FxCop或NCover,但本机输出格式“FPR”是一个二进制的blob,显然不适合任何ReportType枚举选项。可以将其输出为可部署,但在概念上听起来错误。源代码安全风险评估对现有代码库进行分析,并对导致安全漏洞的代码构造进行定位。在某些情况下,我们可以直接将报告发送到中央服务器,因此如果您考虑将步骤部署到Fortify服务器,那么只需将其简单地随机部署就不完全不准确。
其他并发zheng在于,强化SCA有时可能非常缓慢,我几乎可以将其作为推广要求,如果我们可以找到一个很好的方式进行后台安排,但是我没有看到任何长时间运行的背景的例子任务在GitHub上的扩展。
这听起来像一个报告行动的好候选人,但使用ZippedHtml选项。虽然该报表输出二进制文件,您可以使用该文件的超链接将一个html文件写入磁盘,并将其用作索引。两者都将包含在zip文件中,并存在于报表中。如果FPR文件很大,***hao将其保存在磁盘上,否则它不会保存在数据库中。进行评估黑ke的业务了解您***xin的竞争对手-黑ke-以及如何破坏他们的业务来保护自己。
还有一些额外的内置报告操作不在GitHub上;您可以通过反射器或其他东西找到或填写源代码申请表。
当然没有背景行动,但有一个选择可能是...
观看促销已完成事件的触发器
在后台运行报告使用BuildOutputs_AddOutput操作将报告添加到Build
添加促销要求以验证报告已完成
希望有所帮助。我会很好奇看到你想出了什么。
版权所有©2024 天助网