–  HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u  确定源代码安全风险评估的审查目标

u  使用Fortify执行初步扫描并分析安全问题结果

u  审查应用程序的架构所特有的代码安全问题

在第yi步中，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险gao的区域。

 在审查主要代码过程中，我们的源代码安全分析人员对代码进行审查来寻找常见安全问题，源代码审计工具fortify扫描，比如大家熟悉的缓冲区溢出、跨站点脚本，SQL注入等。终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或授权程序等。

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

HP Fortify SCA，Lucent Sky AVM以及法规遵循

如果你的组织的法规遵循要求要修正HP Fortify SCA找到的所有结果（或是符合特定条件的结果，西南fortify扫描，例如严重和高风险），Lucent Sky AVM可以被调整来找一一的结果，并提供更多的功能 - 修正达90％的弱点。

有效果的报告

许多静态程序码扫描工具是由资讯安全所设计来给其他的资讯安全使用。因此，它们需要人士操作，而且产出的报告和结果难以实际帮助。Lucent Sky AVM提供为开发提供分析结果以及即时修复（能够直接修正如跨站脚本和SQL注入等常见弱点的程式码片段），让不是资讯安全的使用者能够使用强化程式码的安全。

对于需要法规遵循报告的企业来说，Lucent Sky AVM能协助开发与资讯安全团队通过HP Fortify SCA的检测并减少误报带来的困扰，源代码扫描工具fortify扫描，同时大幅地降低强化应用程序安全所需要的时间和精力。进一步了解Lucent Sky AVM和静态程序码扫描工具报告的差别，请报告比较表。

修正HP Fortify SCA报告中的弱点可以轻松快速

申请测试来亲自体验Lucent Sky AVM。想知道Lucent Sky AVM可以如何在你的环境中和HP Fortify SCA共享，别再等了！

FortifySCA  PTA 无需源代码，部署简单方便

与QA测试活动结合，省时省力

自动化完成测试，提供安全漏洞信息，使修复漏洞更快，更容易

能达到较高的测试覆盖率，发现更多安全漏洞，测试更加全mian

软件开发人员：企业软件外包商或者内部开发人员。主要对所开发项目的漏洞进行修复。

安全测试人员，主要从事使用Fortify SCA 对所有需要被测试项目的源代码进行安全测试。：一般为软件测试部的人员。

安全审计人员：主要从事软件安全漏洞审计的人员，一般与安全测试人员为同一个人。主要对所有项目的漏洞进行审计和漏洞信息发布。

项目管理人员：主要从事软件安全测试事宜的管理，监督。以及与外包商/开发团队的协调工作。一般为安全处/部人员

华克斯-西南fortify扫描由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是江苏 苏州 ,行业软件的见证者，多年来，公司贯彻执行科学管理、创新发展、诚实守信的方针，满足客户需求。在华克斯领导携全体员工热情欢迎各界人士垂询洽谈，共创华克斯更加美好的未来。