强化SCA与强化SSC之间的差异
WebInspect是与SSC完美匹配的动态代码分析工具。不幸的是,他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止,我看到的大多数共同体解决方案都是在内部开发的。
实际上WebInspect(使用WebInspect Enterprise集成到SSC中,这个控制台连接到SSC,有效地创建了一个新版本的AMP)和运行在
源代码扫描工具fortify扫描
强化SCA与强化SSC之间的差异
WebInspect是与SSC完美匹配的动态代码分析工具。不幸的是,他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止,我看到的大多数共同体解决方案都是在内部开发的。
实际上WebInspect(使用WebInspect Enterprise集成到SSC中,这个控制台连接到SSC,有效地创建了一个新版本的AMP)和运行在Java或.NET应用程序上的Runtime产品(以前称为RTA),并且可以在运行时执行各种各样的事情(记录/停止攻击等) -
1
@Keshi现在他们为Jenkins提供插件,并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分
请说明,同样的analyzser.exe(也称为SCA)由Audit Workbench和各种SCA插件(maven,Jenkins,eclipse,Visual Studio,IntelliJ,XCode等)调用。FortifySCA庞大的安全编码规则包跨层、跨语言地分析代码的漏洞的产生C,C++,。 SSC不运行SCA。 SSC管理从SCA输出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07
Fortify软件
Fortify logo.jpg
类型
前独立软件厂商
行业计算机软件
类型软件
公司成立2003
Kleiner创始人Ted Schlein,Perkins,Caufield&Byers,Mike Armistead,Brian Chess,Arthur Do,Roger Thornton
总部圣马特奥,加利福尼亚州,美国
关键人物
约翰·杰克(前首席执行官),雅各布·西(安全研究小组组长),布莱恩·国际象棋(前首席科学家),亚瑟·杜(前总裁)
业主Hewlett Packard Company
网站
HP软件安全网页和
HP Fortify软件安全中心服务器
Fortify软件,后来被称为Fortify Inc.,是一家位于加利福尼亚州的软件安全供应商,成立于2003年,由惠普在2010年收购[1],成为惠普企业安全产品的一部分[2] [3]
2010年9月7日,HPE首席执行官梅格·惠特曼(Meg Whitman)宣布,包括Fortify在内的Hewlett Packard Enterprise的软件资产将与Micro Focus合并,以创建一个独立的公司,惠普企业股东将保留多数所有权。fortifySCA审计功能要求·对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的合理划分。微焦点首席执行官凯文·洛西莫尔(Kevin Loosemore)称这项交易“完全符合我们既定的收购策略,并将重点放在成熟基础设施产品的有效管理上”,并表示Micro Focus旨在“为成熟资产带来核心盈利空间 - 约80百分之一 - 从今天的百分之二十一微科技在三年内现有的46%的水平。“[4]
技术咨询weiyuanhui
Fortify的技术咨询weiyuanhui由Avi Rubin,Bill Joy,David A. Wagner,Fred Schneider,Gary McGraw,Greg Morrisett,Li Gong,Marcus Ranum,Matt Bishop,William Pugh和John Viega组成。全mian支持各种开发环境,语言,平台和框架,以在混合开发和生产环境中实现安全评估。
安全研究
除了Fortify的分析软件的安全规则外,Fortify还创建了一个维护Java Open Review项目[5]和Vulncat安全漏洞分类的安全研究小组。(PDF744KB)学到更多小册将应用程序安全性构建到整个SDLC中(PDF3。[6]小组成员写了这本书,安全编码与静态分析,并发表了研究,包括Java劫持,[7]攻击构建:交叉构建注入,[8]观察你写的:通过观察程序输出来防止跨站点脚本[9]和动态趋势传播:找不到攻击的脆弱性[10]
强化静态代码分析器
使软件更快地生产
如何修正HP Fortify SCA报告中的弱点?
常见的静态程序码扫描工具(又称原始码检测,白箱扫描),例如HP Fortify SCA,被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢?
对于许多开发者来说,HP Fortify SCA的报告被视为麻烦制造者,因为它们虽然指出了弱点(不论是真的或是误报),但却没有提供任何修正这些弱点的方法。
有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢?
Lucent Sky AVM和静态程序码扫描工具一样会指出弱点,同时提供即时修复 - 一段安全的程式码片段,能够直接插入程式码中来修正跨站脚本(XSS),SQL注入和路径处理这些常见的弱点。
以.NET(C#和VB.NET)和Java应用程式来说,Lucent Sky AVM可以修正多达90%所找到的弱点。
一起使用HP Fortify SCA和Lucent Sky AVM
HP Fortify SCA只会告诉你弱点在哪里,而Lucent Sky AVM会指出它们的位置以及修正方式(并且实际为你修正他们,你喜欢的话)HP Fortify SCA是被设计来供资安人士使用,因此设计理念是找出大量的结果,再依赖资讯安全来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点,并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。NetASPVBVB6Java(Android)JSPJavaHTML。你可以深入了解Lucent Sky AMV的修正流程。
(作者: 来源:)
