源代码检测工具fortify-苏州华克斯公司

fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和api的潜在危险用途。基本上是一个聪明的grep。

配置此分析器在应用程序的部署配置文件中搜索错误，弱点和策略---。

缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。

分享这个

于十二月二十四日十二时十七分

感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，我将非常感谢。 - 新手十二月2712 at 4:22

1

有一个---的，但干燥的书的主题：amazon.com/secure-programming-static----ysis-brian/dp/... - lajmon nov 8 12 at 16:09

现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找html，jsp for xpath匹配） - lavamunky 11月28日13日11:38

@lajmon有一个---的，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：

您的源代码被转换为中间模型，该模型针对sca的分析进行了优化。

某些类型的代码需要多个阶段的翻译。例如，需要先将c＃文件编译成一个debug.dll或---文件，然后将该.net二进制文件通过.net sdk实用程序ildasm---反汇编成microsoft intermediate language（msil）。而像其他文件（如java文件或asp文件）由相应的fortify sca翻译器一次翻译成该语言。

sca将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入fpr文件，源代码审计工具fortify规则库，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，西南fortify，用户过滤规范，任何自定义规则和数字签名都压缩到包中。

fortify软件

强化静态代码分析器

使软件更快地生产

能见度

fortify软件安全中心是一个集中管理存储库，为您的整个appsec测试程序提供可见性和报告。仪表板---了您的应用程序的风险，并有助于---，管理和---您的安全测试活动，优---行修复工作并控制您的软件组合。

“fortify在上市之前帮助我们找到并修复了vital images医liao影像软件的安全漏洞。它直接负责改进我们软件的安全状态。“

 - tim dawson，

vital image软件工程总监

“fortify通过分析我们的软件安全架构和应用程序代码，帮助我们建立安全的开发实践。我们将继续使用fortify软件在其整个生命周期内测试我们所有的软件，以---其始终保持安全。

- 卢克·波隆，银行应用项目经理，

parkeon

“在整个业务中的执行支持和购买对我们的成功---。发展与安全共同努力，---我们为客户做正确的事情，源代码检测工具fortify，我们的业务是关键。在开发过程中发现漏洞，并教育开发人员在交付工作时思考“安全”，正在改变我们的工作和交付方式。这次旅程是与安全合作关系的---团队胜利，文化转变为灵活的思维方式，为未来创造---，可持续的过程。“

 - ciso的jennifer cole，

servicemaster