Fortify SCA产品组件及功能
Source
Code
Analysis
Engine(源代码分析引擎)
数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题
语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题
结构分析引擎-----分析程序上下文环境,结构中的安全问题
控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题
配置分析引擎
-----分析项目配置文件中的敏感信息和配置缺失的安全问题
特有的X-Tier跟踪qi-----跨跃项目的上下层次,贯穿程序来综合分析问题
Secure
Coding
Rulepacks
(安全编码规则包)
Audit
Workbench(审查工作台)
Custom
Rule
Editor
&
Custom
RuleWizard(规则自定义编辑器和向导)
DeveloperDesktop
(IDE
插件)
FortifySCA 分析安全漏洞的标准
OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)
2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全
技术PCI标准)
3. WASC24+2(Web应用安全联合威胁分类)
4. NIST SP800-53Rev.4(美国与技术研究院)
5. FISMA(联邦信息安全管理法案)
6. SANS Top25 2009/2010/2011(IT安全与研究组织)
7. CWE(MITRE公司安全漏洞词典)
Fortify软件
强化静态代码分析器
使软件更快地生产
如何解决Fortify报告的扫描问题
1124,1127由于[严重]低内存,扫描进度缓慢
这个错误不会影响结果的准确性,源代码检测工具fortify总代理,但是要加快扫描速度,请参阅:如何增加Fortify的内存进行翻译
1137功能。 。 。对于详尽的数据流分析来说太复杂了,源代码审计工具fortify总代理,进一步分析将被跳过(访问)如何解决“功能...太复杂”错误
1138功能。 。 。对于详尽的数据流分析来说太复杂了,源代码审计工具fortify总代理,进一步分析将被跳过(时间)如何解决“功能...太复杂”的错误
1212无法在中解析函数
这是Fortify 17.10的一个已知问题。有关详细信息,请参阅以下文章:
Fortify SCA版本17.10的Java方法中的函数解析错误
1214为类找到多个定决多个类定义。考虑将代码扫描到多个FPR文件(如果适用)。
1215找不到Web应用程序的部署描述符(web.xml)如何解决Fortify无法找到web.xml或WEB-INF目录的警告
1219无法在给定的搜索路径和Microsoft .NET Framework库中找到类[...]如何解决“无法找到类...”
1225无法找到Microsoft .NET反汇编程序工具(ildasm)如何解决“无法找到Microsoft .NET反汇编程序工具(ildasm)...”
1237以下对java类的引用无法解析[...]修改提供给Fortify的类路径以包含包含列出的类的jar文件。
1343功能。 。 。对于控制流分析来说太复杂了,将被跳过。 (时间)如何解决“功能...太复杂”错误
1425选项“-source-base-dir”(或属性“com.fortify.sca.SourceBaseDir”)应在处理cfml文件时设置将-source-base-dir设置为推荐
1501类路径条目。 。 。不存在根据需要修改提供给Fortify的类路径,以提供正确的类路径
6001没有文件被排除,fortify总代理,因为-exclude选项指ding的文件模式[...]与任何文件不匹配此错误不会影响结果的准确性,但这可能意味着某些扫描的文件被意图排除。
10002无法解析T-SQL [...]如何在Windows上扫描PL / SQL
12003假设Java源级别为1.8,因为没有指ding。指ding在GUI中或使用-source或-jdk命令行选项使用的Java版本。
12004,12005 的PHP前端无法解析以下内容如何解决“PHP前端无法解析以下包含...”
12004,12006 ASP / VB前端无法解析以下内容/您可能需要定义一些虚拟根。如何解决“ASP / VB前端无法解决以下内容...”
12004,12010 Action前端无法解析以下导入如何解决“Action前端无法解析以下导入...”
12004红宝石前端无法解决以下要求如何解决“红宝石前端无法解决以下要求...”
12007您可能需要向SCA的-python-path参数添加一些参数请尝试根据Fortify的建议配置-python-path参数。请参阅Fortify文档中的SCA用户指南2章:翻译Python代码
12014在.Net翻译器执行期间发生翻译错误这是Fortify 16.20扫描C#6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息:Fortify 16.20“C#6 / VB 14”中的“转换器执行失败”错误
12019以下对java函数的引用无法解析有关此错误,请参阅以下博客文章
12020未找到以下类,但提供了哪个jar文件可能包含该类的建议。修改提供给Fortify的类路径以包含包含列出的类的jar文件。
12022课程[。 。 。]在类路径中找不到,但是它在HPE Fortify提供的jar中找到。 。 。如果未设置,请显式设置Java版本,并修改提供给Fortify的类路径以包含指示的jar文件。如果Fortify拉入了正确的jar文件版本,那么这可以被认为不是一个问题,但是必须包含一个自述文件,解释它们是正确的版本。
13556找不到实现该类型的lambda的方法。 。 。有关此错误,请参阅以下博客文章。
FortifySCA 扫描的结果如下:
Fortify SCA 的结果文件为.FPR 文件,包括详细的漏洞信息:漏
洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明 及修复建议等。如下:
分级报告漏洞的信息 项目的源代码 漏洞推荐修复的方法
漏洞产生的全路
径的跟踪信息
漏洞的详细说明
图2:Foritfy AWB 查看结果
3.Fortify SCA 支持的平台:
4.Fortify
SCA 支持的编程语言:
5.Fortify SCA plug-In
支持的有:
6.Fortify SCA 目前能够扫描的安全漏洞种类有:
目前Fortify SCA可以扫描出约 300
种漏洞,Fortify将所有安全
漏洞整理分类,根据开发语言分项目,再细分为 8 个大类,约
300
个 子类:
fortify总代理-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务,公司拥有“Loadrunner,Fortify,Webinspect”等,专注于行业软件等行业。,在苏州工业园区新平街388号的名声不错。欢迎来电垂询,联系人:华克斯。
产品:华克斯
供货总量:不限
产品价格:议定
包装规格:不限
物流说明:货运及物流
交货说明:按订单