Fortify SCA简介【试用申请联系我们】

扫码分享给我的朋友

        Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在 的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的 提供。

　　1．Fortify SCA 扫描引擎介绍：

　　Foritfy SCA 主要包含的五大分析引擎：

　　·  数据流引擎：跟踪,记录并分析程序中的数据传递过程所产生 的安全问题。

　　·  语义引擎：分析程序中不安全的函数,方法的使用的安全问题。

　　·  结构引擎：分析程序上下文环境,结构中的安全问题。

　　·  控制流引擎：分析程序特定时间,状态下执行操作指令的安全 问题。

　　·  配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全 问题。

　　·  特有的  X-Tier™跟踪器：跨跃项目的上下层次,贯穿程序来综合 分析问题

　　2. Fortify SCA 的工作原理：

　　
        Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码（如 JAVA，C/C++源代码）转换成一种中间媒体文件 NST（Normal Syntax     Tree）将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个   NST， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。最后形成 包含详细漏洞信息的 FPR 结果文件，用 AWB 打开查看。

　　2．Fortify SCA 扫描的结果如下：

　　Fortify SCA 的结果文件为.FPR 文件，包括详细的漏洞信息：漏 洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明 及修复建议等。如下图：　　

　　3．Fortify SCA 支持的平台：

　　4．Fortify SCA 支持的编程语言：

　　5．Fortify SCA plug-In 支持的有:

　　6．Fortify SCA 目前能够扫描的安全漏洞种类有：

　　目前Fortify SCA可以扫描出约 300 种漏洞，Fortify将所有安全 漏洞整理分类，根据开发语言分项目，再细分为 8 个大类，约 300 个 子类。

试用申请：微信服务号（hundker）