fortify软件
强化静态代码分析器
使软件更快地生产
fortify软件如何工作?
fortify是用于查找软件代码中的安全漏洞的sca。我只是好奇这个软件在内部工作。我知道你需要配置一组代码将被运行的规则。但是如何才能在代码中找到漏洞。
有人有什么想法吗?
提前致谢。
强化
任何想法如何适用于ios应用程序? fortify是否有任何mac软件通过我们可以扫描ios代码objective-c / swift代码? -
hp fortify sca有6个分析器:数据流,控制流,语义,结构,配置和缓冲。每个分析器都会发现不同类型的漏洞。
数据流量此分析仪检测潜在的漏洞,这些漏洞涉及受到潜在危险使用的污染数据(用户控制输入)。数据流分析器使用全局的,程序间的污染传播分析来检测源(用户输入站点)和信宿(危险函数调用或操作)之间的数据流。例如,数据流分析器检测用户控制的长度的输入字符串是否被到静态大小的缓冲区中,并检测用户控制的字符串是否用于构造sql查询文本。
控制流程此分析仪检测潜在的危险操作序列。通过分析程序中的控制流程,控制流程分析器确定一组操作是否以一定顺序执行。例如,控制流程分析器检测使用时间的检查/时间问题和未初始化的变量,并检查在使用之前是否正确配置了诸如xml读取器之类的实用程序。
结构这可以检测程序的结构或定义中潜在的危险缺陷。例如,结构分析器检测对java servlet中成员变量的分配,识别未声明为static final的记录器的使用,以及由于总是为false的谓词将永远不会执行的死代码的实例。
fortify
fortify sca 的结果文件为.fpr 文件,包括详细的漏洞信息:漏
洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明 及修复建议等。如下:
分级报告漏洞的信息 项目的源代码 漏洞修复的方法
漏洞产生的全路
径的---信息
漏洞的详细说明
图2:foritfy awb 查看结果
3.fortify sca 支持的平台:
4.fortify
sca 支持的编程语言:
5.fortify sca plug-in
支持的有:
6.fortify sca 目前能够扫描的安全漏洞种类有:
目前fortify sca可以扫描出约 300
种漏洞,fortify将所有安全
漏洞整理分类,源代码扫描工具fortify规则库,根据开发语言分项目,再细分为 8 个大类,约
300
个 子类:
hpfortifysca简介
1.软件基本功能
·
安全漏洞检测需拥有目前业界quan威的代码漏洞规则库,能够检测出600种以上的问题
·
支持多种常见编程语言,包括asp.net,c,c++,c#,classic
asp, flex/actionsc ript,java,javasc ript/ajax,jsp,objective
c,pl/sql,php,t-sql,vb.net,vbsc ript,vb6,xml/html,python,
coldfusion,源代码扫描工具fortify采购, cobol, abap等语言。
·
支持多种ide,贵州源代码扫描工具fortify,较好地和现有成熟的软件开发环境集成。如:visual studio 2003、2005、2008、2010、2012,eclipse 2.x、 3.x,wsad,rad工具等。
·
支持多种操作系统,即可以安装在所有主流操作系统中,如:windows、 linux 、aix、hp-unix、 solaris、mac os等。
·
工具生成的测试结果报告文档包含详尽的中文漏洞说明和修复指导建议。
·
工具的技术达到国际ling先水平和---,有国际/国内机构的---和---或对wasc/owasp组织有重要贡献。在ju的it研究咨询机构gartner的xin报告中,应该位于魔力象限的di一象限业界---。
贵州源代码扫描工具fortify-华克斯由苏州华克斯信息科技有限公司提供。贵州源代码扫描工具fortify-华克斯是苏州华克斯信息科技有限公司今年新升级推出的,以上图片仅供参考,请您拨打本页面或图片上的联系电话,索取联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/277462680.html
关键词:
滇公网安备 53011202000392号