Fortify SCA产品组件及功能
Source
Code
Analysis
Engine(源代码分析引擎)
数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题
语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题
结构分析引擎-----分析程序上下文环
源代码审计工具fortify规则库
Fortify SCA产品组件及功能
Source
Code
Analysis
Engine(源代码分析引擎)
数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题
语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题
结构分析引擎-----分析程序上下文环境,结构中的安全问题
控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题
配置分析引擎
-----分析项目配置文件中的敏感信息和配置缺失的安全问题
特有的X-Tier跟踪qi-----跨跃项目的上下层次,贯穿程序来综合分析问题
Secure
Coding
Rulepacks
(安全编码规则包)
Audit
Workbench(审查工作台)
Custom
Rule
Editor
&
RuleWizard(规则自定义编辑器和向导)
DeveloperDesktop
(IDE
插件)
Fortify
SCA 分析安全漏洞的标准
OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)
2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全
技术PCI标准)
3. WASC24+2(Web应用安全联合威胁分类)
4. NIST SP800-53Rev.4(美国与技术研究院)
5. FISMA(联邦信息安全管理法案)
6. SANS Top25 2009/2010/2011(IT安全与研究组织)
7. CWE(MITRE公司安全漏洞词典)
强化SCA与强化SSC之间的差异
WebInspect是与SSC完美匹配的动态代码分析工具。不幸的是,他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止,我看到的大多数共同体解决方案都是在内部开发的。
实际上WebInspect(使用WebInspect Enterprise集成到SSC中,这个控制台连接到SSC,有效地创建了一个新版本的AMP)和运行在Java或.NET应用程序上的Runtime产品(以前称为RTA),并且可以在运行时执行各种各样的事情(记录/停止攻击等) -
1
@Keshi现在他们为Jenkins提供插件,并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分
请说明,同样的analyzser.exe(也称为SCA)由Audit Workbench和各种SCA插件(maven,Jenkins,eclipse,Visual Studio,IntelliJ,XCode等)调用。 SSC不运行SCA。Fortify软件强化静态代码分析器使软件更快地生产应用安全HPESecurityFortify提供端到端应用安全解决方案,具有灵活的测试内部部署和按需来覆盖整个软件开发生命周期。 SSC管理从SCA输出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07
Fortify软件
强化静态代码分析器
使软件更快地生产
企业需要的方法来加速SDLC,。 Fortify SCA提供增量扫描,可提供更快的扫描时间和结果,提高生产力,从而实现更多扫描,并通过更快地发布应用程序来保持竞争力。
学到更多
软件安全错误分类
为了帮助开发人员了解导致安全漏洞的编码错误的常见类型,Fortify的研究团队创建了“七恶国”,它将组织的漏洞统一起来,将其映射到行业标准。
在一个集中管理存储库中查看应用程序安全程序
Fortify软件安全中心提供整个应用程序安全程序的可见性,以帮助解决整个软件组合中的漏洞。它通过仪表板和报告测量效率,准确性和价值,利用SDLC上的应用程序安全数据的强大功能。
(作者: 来源:)
