Fortify软件
强化静态代码分析器
使软件更快地生产
转移景观
语言支持也得到了扩展,完全支持PHP,Java,COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。Fortify SCA以直支持C#,VB.NET,Java和C / C ++,ColdFusion和存储过程语言,如Microsoft TSQL和Oracle PL / SQL。
“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快,”Meftah解释说。 “这些COM语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
SANS Institute互联网风暴中心研究员Johannes Ullrich表示,Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”Ullrich说。 “这是一个巨大的时间保护,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码审查。
Fortify SCA旨在与现有工具和IDE集成,包括Microsoft Visual Studio,Eclipse和IBM Rapid Application Developer(RAD)。基于Java的套件运行在各种操作系统上,包括Windows,Linux,Mac OS X和各种各样的Unix。
许可证的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(Michael Desmond)是1105媒体企业计算组织的编辑兼作家。
Fortify SCA 的工作原理:
Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码(如 JAVA,C/C++源代码)转换成一种中间媒体文件 NST(Normal Syntax Tree)将其源代码之间的调用关系,源代码检测工具fortify 价格,执行环境,江苏fortify 价格,上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST, 匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。形成 包含详细漏洞信息的 FPR 结果文件,用 AWB 打开查看。
Fortify软件
强化静态代码分析器
使软件更快地生产
语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。
配置此分析器在应用程序的部署配置文件中搜索错误,源代码扫描工具fortify 价格,弱点和策略违规。
缓冲区此分析仪检测缓冲区溢出漏洞,涉及写入或读取比缓冲区容纳的更多数据。
分享这个
于十二月二十四日十二时十七分
感谢你非常有用的信息。你知道这些分析仪在内部工作吗?如果您提供一些细节,我将非常感谢。 - 新手十二月27'12 at 4:22
1
有一个很好的,但干燥的书的主题:amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09
现在还有一个内容分析器,尽管这与配置分析器类似,除非在非配置文件中搜索问题(例如查找HTML,JSP for XPath匹配) - lavamunky 11月28日13日11:38
@LaJmOn有一个非常好的,但在完全不同的抽象层次,我可以用另一种方式回答这个问题:
您的源代码被转换为中间模型,该模型针对SCA的分析进行了优化。
某些类型的代码需要多个阶段的翻译。例如,需要先将C#文件编译成一个debug.DLL或.EXE文件,然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language(MSIL)。而像其他文件(如Java文件或ASP文件)由相应的Fortify SCA翻译器一次翻译成该语言。
SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。
匹配被写入FPR文件,漏洞匹配信息,源代码扫描工具fortify 价格,安全建议,源代码,源交叉引用和代码导航信息,用户过滤规范,任何自定义规则和数字签名都压缩到包中。
江苏fortify 价格-华克斯(推荐商家)由苏州华克斯信息科技有限公司提供。行路致远,砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴,更矢志成为行业软件具有竞争力的企业,与您一起飞跃,共同成功!
产品:华克斯
供货总量:不限
产品价格:议定
包装规格:不限
物流说明:货运及物流
交货说明:按订单