Fortify SCA 的工作原理:
Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码(如 JAVA,C/C++源代码)转换成一种中间媒体文件 NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST, 匹配所有规则库中的漏洞特征,一旦发现漏洞
源代码检测工具fortify价格表
Fortify SCA 的工作原理:
Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码(如 JAVA,C/C++源代码)转换成一种中间媒体文件 NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST, 匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。使用方便通过脚本,插件和工具集成到任何环境中,以便开发人员能够轻松地启动和运行。形成 包含详细漏洞信息的 FPR 结果文件,用 AWB 打开查看。
Fortify SCA产品组件及功能
Source
Code
Analysis
Engine(源代码分析引擎)
数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题
语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题
结构分析引擎-----分析程序上下文环境,结构中的安全问题
控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题
配置分析引擎
-----分析项目配置文件中的敏感信息和配置缺失的安全问题
特有的X-Tier跟踪qi-----跨跃项目的上下层次,贯穿程序来综合分析问题
Secure
Coding
Rulepacks
(安全编码规则包)
Audit
Workbench(审查工作台)
Custom
Rule
Editor
&
RuleWizard(规则自定义编辑器和向导)
DeveloperDesktop
(IDE
插件)
Fortify
SCA 分析安全漏洞的标准
OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)
2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全
技术PCI标准)
3. WASC24+2(Web应用安全联合威胁分类)
4. NIST SP800-53Rev.4(美国与技术研究院)
5. FISMA(联邦信息安全管理法案)
6. SANS Top25 2009/2010/2011(IT安全与研究组织)
7. CWE(MITRE公司安全漏洞词典)
Fortify软件
强化静态代码分析器
使软件更快地生产
如何解决Fortify报告的扫描问题
1124,1127由于[严重]低内存,扫描进度缓慢
这个错误不会影响结果的准确性,但是要加快扫描速度,请参阅:如何增加Fortify的内存进行翻译
1137功能。 。 。对于详尽的数据流分析来说太复杂了,进一步分析将被跳过(访问)如何解决“功能...太复杂”错误
1138功能。 。 。对于详尽的数据流分析来说太复杂了,进一步分析将被跳过(时间)如何解决“功能...太复杂”的错误
1212无法在
中解析函数
这是Fortify 17.10的一个已知问题。有关详细信息,请参阅以下文章:
Fortify SCA版本17.10的Java方法中的函数解析错误
1214为类找到多个定义解决多个类定义。考虑将代码扫描到多个FPR文件(如果适用)。
1215找不到Web应用程序的部署描述符(web.xml)如何解决Fortify无法找到web.xml或WEB-INF目录的警告
1219无法在给定的搜索路径和Microsoft .NET Framework库中找到类[...]如何解决“无法找到类...”
1225无法找到Microsoft .NET反汇编程序工具(ildasm)如何解决“无法找到Microsoft .NET反汇编程序工具(ildasm)...”
1237以下对java类的引用无法解析[...]修改提供给Fortify的类路径以包含包含列出的类的jar文件。
1343功能。 。 。对于控制流分析来说太复杂了,将被跳过。 (时间)如何解决“功能...太复杂”错误
1425选项“-source-base-dir”(或属性“com.fortify.sca.SourceBaseDir”)应在处理cfml文件时设置将-source-base-dir设置为推荐
1501类路径条目。 。 。不存在根据需要修改提供给Fortify的类路径,以提供正确的类路径
6001没有文件被排除,因为-exclude选项指ding的文件模式[...]与任何文件不匹配此错误不会影响结果的准确性,但这可能意味着某些扫描的文件被意图排除。
10002无法解析T-SQL [...]如何在Windows上扫描PL / SQL
12003假设Java源级别为1.8,因为没有指ding。指ding在GUI中或使用-source或-jdk命令行选项使用的Java版本。
12004,12005 的PHP前端无法解析以下内容如何解决“PHP前端无法解析以下包含...”
12004,12006 ASP / VB前端无法解析以下内容/您可能需要定义一些虚拟根。如何解决“ASP / VB前端无法解决以下内容...”
12004,12010 Action前端无法解析以下导入如何解决“Action前端无法解析以下导入...”
12004红宝石前端无法解决以下要求如何解决“红宝石前端无法解决以下要求...”
12007您可能需要向SCA的-python-path参数添加一些参数请尝试根据Fortify的建议配置-python-path参数。请参阅Fortify文档中的SCA用户指南2章:翻译Python代码
12014在.Net翻译器执行期间发生翻译错误这是Fortify 16.20扫描C#6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息:Fortify 16.20“C#6 / VB 14”中的“转换器执行失败”错误
12019以下对java函数的引用无法解析有关此错误,请参阅以下博客文章
12020未找到以下类,但提供了哪个jar文件可能包含该类的建议。修改提供给Fortify的类路径以包含包含列出的类的jar文件。
12022课程[。 。 。]在类路径中找不到,但是它在HPE Forti
