Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

 数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题

 语义分析引擎-----分析程序中不安全的函数，源代码检测工具fortify工具，方法的使用的安全问题

 结构分析引擎-----分析程序上下文环境，结构中的安全问题

 控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

 配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

 特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

Secure

Coding

Rulepacks

?（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

Custom

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)

Fortify SCA 的工作原理：

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码（如 JAVA，C/C++源代码）转换成一种中间媒体文件 NST（Normal Syntax Tree）将其源代码之间的调用关系，北京fortify工具，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。后形成 包含详细漏洞信息的 FPR 结果文件，源代码扫描工具fortify工具，用 AWB 打开查看。

FortifySCA系统集成和可扩展性

·        

可以支持和QC、Bugzilla等主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。  

·        

漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。 提高工作效率，实现集中管理。

·        

可以支持和主流持续集成平台的整合如Hudson/Jenkins，实现从获取xin代码、构建编译、安全测试、结果发布的全自动化，提高工作效率，节省人力成本。

·        

可以支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析，具有强大的可扩展性，提高应用安全测试结果的准确性，并且得到的定位和修复。

北京fortify工具-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗，信誉可靠，在江苏 苏州 的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善创新理念和您携手步入辉煌，共创美好未来！