专业的软件下载网站!

Fortify SCA(代码审计工具)v20.1.1官方版

Fortify SCA(代码审计工具)v20.1.1官方版

编程开发  |   1,003.5M

语言:英文

4 .0

电脑版下载

应用简介


FortifySCA 是一种代码审计工具,也用作白盒测试工具。它由五个部分组成:内置分析引擎、安全编码规则包、审查工作台、规则自定义编辑器和向导以及用于检测源代码的IDE插件。中的漏洞.









Fortify SCA 是一种代码审计工具,也用作白盒测试工具。它由五个部分组成:内置分析引擎、安全编码规则包、审查工作台、规则自定义编辑器和向导以及用于检测源代码的IDE插件。代码中的错误!



16f5f03e37ea1c74_600_0.jpeg



特征



审计功能



1.安全问题审计结果、审计类别分类和问题标注功能。



2.安全审核自动导航功能



3、安全漏洞扫描结果汇总及问题优先级功能。



4.安全问题定位和问题转移过程跟踪功能。



5.安全问题查询和过滤功能。



6. 安全问题描述和建议修复。



扫描分析功能



1、独特的控制流分析技术,准确跟踪业务运行顺序,发现代码结构不合理带来的软件安全风险。



2、独特的配置流程分析技术,分析软件配置与代码之间的关系,发现因配置丢失或软件配置与代码不一致而带来的安全风险。



3、独特的数据流分析技术,对受感染和可疑的输入数据进行全程跟踪,直至数据被不安全地使用,并且跨越了整个软件的各个层面和编程语言的边界。



4、独特的语义分析技术,发现易受攻击的语言函数或程序,了解其使用上下文,识别特定函数或程序的使用带来的潜在软件安全风险。



5、独特的代码结构分析技术,从代码的结构上对代码进行分析,识别出因代码结构不合理而导致的安全弱点和问题。



6.自定义防伪码规则功能。



软件特点



1.扫描引擎介绍:



五个主要分析引擎包括:



数据流引擎:跟踪、记录和分析程序中数据传输过程中产生的安全问题。



语义引擎:分析程序中方法使用中的不安全函数和安全问题。



结构引擎:分析结构中的程序上下文和安全问题。



控制流引擎:分析程序在特定时间和状态下执行操作指令的安全问题。



配置引擎:分析项目配置文件中的敏感信息以及缺失配置的安全问题。



独特的X-Tier追踪器:跨越项目上下层,全面分析整个项目的问题



2、工作原理:首先通过调用语言的编译器或解释器,将前端语言代码(如JAVA、CIC++源代码)转换为中间媒体文件NST(Normal Syntax Tree)。执行源码之间的调用关系。环境、背景等分析得很清楚。然后通过上述五个分析引擎从五个方面对NST进行分析,匹配所有规则库中的漏洞特征,一旦发现漏洞就进行捕获。最后形成包含详细漏洞信息的FPR结果。使用AWB 进行归档、打开和查看。



3、Fortify SCA扫描结果如下:



结果文件为.FPR文件,包含详细的漏洞信息:漏洞分类、漏洞完整路径、漏洞所在源代码行、漏洞详细描述和修复建议等。



4、可扫描的安全漏洞类型有:



它可以扫描出约350种漏洞,对所有安全漏洞进行分类,并根据开发语言将其划分为项目,然后再细分为8大类和约350个小类。



5.支持混合语言分析,包括ASP、NET、C/C++、C#、Java、JSP;支持Windows、Linux、Mac OS等多种操作系统。



6.支持自定义软件安全码规则。



7. 集成软件开发环境(Microsoft Visual Studio、IBM RAD 和Eclipse)和自动化产品构建流程。

热门攻略

特别推荐