FortifySCA报表及测试结果管理功能要求
·
能够针对客户的个性化需求,勾选报表模板中的内容,并且可以自定义报表模板。包含加入用户企业的LOGO。
提供多种格式的检测报告,如:PDF、Xml,Word等。
提供将测试结果与OWASP
2007/2010/2013 TOP10漏洞的比较性报表。
能够编辑以往有效成功的修复经
源代码扫描工具fortify工具
FortifySCA报表及测试结果管理功能要求
·
能够针对客户的个性化需求,勾选报表模板中的内容,并且可以自定义报表模板。包含加入用户企业的LOGO。
提供多种格式的检测报告,如:PDF、Xml,Word等。
提供将测试结果与OWASP
2007/2010/2013 TOP10漏洞的比较性报表。
能够编辑以往有效成功的修复经验描述在系统中,并可以整合在报告中输出,共享漏洞修复的经验。
测试结果可以以文件形式保存,无需数据库支持,减少部署时间和成本,也可以将测试结果作为测试资产集中存储在商用的数据库中,以便测试资产管理和备份工作。
对企业中多个项目的多次测试结果进行统一管理,能够按项目或项目开发语言等多种方式查看测试结果的发展趋势,帮助管理人员定制安全策略。
Fortify
SCA 扫描的结果如下:
Fortify SCA 的结果文件为.FPR 文件,包括详细的漏洞信息:漏
洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明 及修复建议等。如下:
分级报告漏洞的信息 项目的源代码 漏洞推荐修复的方法
漏洞产生的全路
径的跟踪信息
漏洞的详细说明
图2:Foritfy AWB 查看结果
3.Fortify SCA 支持的平台:
4.Fortify
SCA 支持的编程语言:
5.Fortify SCA plug-In
支持的有:
6.Fortify SCA 目前能够扫描的安全漏洞种类有:
目前Fortify SCA可以扫描出约 300
种漏洞,Fortify将所有安全
漏洞整理分类,根据开发语言分项目,再细分为 8 个大类,约
300
个 子类:
Fortify SCA 支持的开发语言
XML
12. C/C++
13. PHP
14. T-SQL (MSSQLDB)
15. PL/SQL(OracleDB)
16. Action
17. Objective-C(iPhone)
18.ColdFusion
19.Python
Fortify
SCA支持扫描字节码(Java源代码编译之后的形式),支持Class文
件、Jar文件。
2. Fortify
SCA全mian支持Ruby语言
3. Fortify
SCA支持xin版本的苹果IOS移动应用测试,Xcode6.0,
6.1,and6.2
20.COBOL
21.SAP-ABAP
Fortify软件
强化静态代码分析器
使软件更快地生产
Fortify软件如何工作?
Fortify是用于查找软件代码中的安全漏洞的SCA。我只是好奇这个软件在内部工作。我知道你需要配置一组代码将被运行的规则。但是如何才能在代码中找到漏洞。
有人有什么想法吗?
提前致谢。
强化
任何想法如何适用于iOS应用程序? Fortify是否有任何Mac软件通过我们可以扫描iOS代码Objective-C / Swift代码? -
HP Fortify SCA有6个分析器:数据流,控制流,语义,结构,配置和缓冲。每个分析器都会发现不同类型的漏洞。
数据流量此分析仪检测潜在的漏洞,这些漏洞涉及受到潜在危险使用的污染数据(用户控制输入)。数据流分析器使用全局的,程序间的污染传播分析来检测源(用户输入站点)和信宿(危险函数调用或操作)之间的数据流。·对多层次、多语言的项目,可以跨层次、跨语言地对整个项目进行分析。例如,数据流分析器检测用户控制的无限长度的输入字符串是否被到静态大小的缓冲区中,并检测用户控制的字符串是否用于构造SQL查询文本。
控制流程此分析仪检测潜在的危险操作序列。通过分析程序中的控制流程,控制流程分析器确定一组操作是否以一定顺序执行。使安全测试、功能测试和性能测试发现的问题统一管理,与开发团队现有的流程相融合。例如,控制流程分析器检测使用时间的检查/时间问题和未初始化的变量,并检查在使用之前是否正确配置了诸如XML读取器之类的实用程序。
结构这可以检测程序的结构或定义中潜在的危险缺陷。例如,结构分析器检测对Java servlet中成员变量的分配,识别未声明为static final的记录器的使用,以及由于总是为false的谓词将永远不会执行的死代码的实例。
(作者: 来源:)
