源代码扫描工具fortify规则库-苏州华克斯信息

fortify软件

强化静态代码分析器

使软件更快地生产

能见度

fortify软件安全中心是一个集中管理存储库，为您的整个appsec测试程序提供可见性和报告。仪表板---了您的应用程序的风险，并有助于---，源代码扫描工具fortify规则库，管理和---您的安全测试活动，优---行修复工作并控制您的软件组合。

“fortify在上市之前帮助我们找到并修复了vital images医liao影像软件的安全漏洞。它直接负责改进我们软件的安全状态。“

 - tim dawson，

vital image软件工程总监

“fortify通过分析我们的软件安全架构和应用程序代码，帮助我们建立安全的开发实践。我们将继续使用fortify软件在其整个生命周期内测试我们所有的软件，以---其始终保持安全。

- 卢克·波隆，银行应用项目经理，

parkeon

“在整个业务中的执行支持和购买对我们的成功---。发展与安全共同努力，---我们为客户做正确的事情，我们的业务是关键。在开发过程中发现漏洞，并教育开发人员在交付工作时思考“安全”，正在改变我们的工作和交付方式。这次旅程是与安全合作关系的---团队胜利，文化转变为灵活的思维方式，为未来创造---，可持续的过程。“

 - ciso的jennifer cole，

servicemaster

–  hpe fortify sca

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u  确定源代码安全风险评估的---目标

u  使用fortify执行初步扫描并分析安全问题结果

u  ---应用程序的架构所特有的代码安全问题

在第yi步中，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工---来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险gao的区域。

 在---主要代码过程中，源代码审计工具fortify规则库，我们的源代码安全分析人员对代码进行---来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨站点---，sql注入等。终---用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或授权程序等。