FortifySCA服务概述

 软件源代码是软件需求、设计和实现的终载体，源代码审计工具fortify扫描，源代码安全风险评估发现代码构造期间引入实现级别的安全漏洞，并为这些编码错误建议补救措施。源代码安全风险评估对现有代码库进行分析，并对导致安全漏洞的代码构造进行定位。包括但不限于OWASP Top 10、PCI 、CWE、CVE、SANS20、SOX 等国际组织公布的软件安全漏洞。

我们的安全团队将静态分析工具和手动审查相结合来尽可能揭示所有的可能存在的安全漏洞。

–  HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u  确定源代码安全风险评估的审查目标

u  使用Fortify执行初步扫描并分析安全问题结果

u  审查应用程序的架构所特有的代码安全问题

在第yi步中，源代码审计工具fortify扫描，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，源代码扫描工具fortify扫描，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险gao的区域。

 在审查主要代码过程中，我们的源代码安全分析人员对代码进行审查来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨站点脚本，北京fortify扫描，SQL注入等。终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或授权程序等。

FortifySCA优点

Secure Coding Rulepacks ?（安全编码规则包）

Audit Workbench（审查工作台）

Custom Rule Editor & Custom

Rule Wizard(规则自定义编辑器和向导)

Developer Desktop (IDE 插件）

其主要特点：

        1.集中管理

        2.化分优先级

        3.标记趋势

        4.

协同工作平台

        5.产生多种报表

苏州华克斯公司-北京fortify扫描由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业软件等行业。，在苏州工业园区新平街388号的名声不错。欢迎来电垂询，联系人：华克斯。