{源代码审计}应用安全expert团队帮助客户发现源代码中可能导致数据损坏、不可预测的行为、应用程序故障和其他问题等,华中fortify工具,Maximum extent的解决源代码中的质量缺陷、潜在安全漏洞、测试问题、及Java运行时缺陷等,源代码审计工具fortify工具,并出具源代码审计报告。
编程语言支持:Java、C/C++、OC、JavaScript、PHP、Python、.Net等20+种类型。
审计类型支持:安全漏洞(注入、跨站脚本、安全配置错误、敏感信息泄露、未验证的重定向和转发等)、质量缺陷(死代码、空方法、未释放的资源、过实的方法等)、编程风格(命名规则、变量常量与类型、表达式与语句、参数、注释、文件布局等)等100+类型。
白盒测试工具支持:Fortify、SonarQube、Coverity等。
SonarQube从七个维度来分析代码质量问题:
可靠性
安全性
可维护性
覆盖率
重复
大小
复杂度
问题
单论代码分析能力,拿SonarJava举例,对于大多数zui佳实践类型的问题,比如不该使用MD5,源代码扫描工具fortify工具,不要用主线程sleep等,都还是查的不错。但是真正严重的安全漏洞,比如SQL注入之类的污点传播类问题,一般涉及跨文件,函数,以及涉及对虚函数、数组、容器的处理,还要识别通过框架等配置的数据处理逻辑,那就无能为力。
这也是SonarQube分析器跟Fortify工具的差距所在。
ScanCentral SAST 选项卡增强功能
对 SCANCENTRAL 视图中的 SAST 选项卡进行了以下更改:
“状态”列现在是“状态”列,现在显示符号以指示当前扫描状态。
“扫描请求”表现在包括“优先级”列,该列显示挂起的扫描请求作业的运行顺序。您可以通过选择优先级标题对列出的作业进行排序。扩展扫描请求的详细信息现在包括“确定扫描优先级”按钮,您可以选择该按钮将扫描请求移动到池的作业队列顶部。您还可以单击“扫描请求”表中的箭头图标,将请求移动到队列顶部。有关详细信息,源代码审计工具fortify工具,请参阅用户指南中的“确定 ScanCentral SAST 扫描请求的优先级”。
查看和审核已消除的漏洞结果
现在,您可以在 Fortify 软件安全中心查看和审核应用程序的 Debricked 扫描结果,这样,除了查看源代码中的漏洞外,您还可以查看来自第三方库的开源漏洞。有关详细信息,请参阅用户指南中的“查看开源数据”。
在错误跟踪模板中创建可点击的链接
从版本 22.1.1 开始,您可以在错误跟zong器的速度模板中使用新的 HtmlUtil 类来创建指向 Fortify 软件安全中心中特定问题的链接。有关如何使用此类的信息,请选择“编辑模板”对话框中的“编辑提示”链接(请参阅用户指南中的“自定义 Bug 跟zong器插件的速度模板”)。
源代码审计工具fortify工具-华克斯(推荐商家)由苏州华克斯信息科技有限公司提供。行路致远,砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴,更矢志成为行业软件具有竞争力的企业,与您一起飞跃,共同成功!
