fortify sca 主要特性
1、覆盖大部分对友好的语言,源代码检测工具fortify工具,支持:
abap/bsp、apex、asp.net、c# (.net)、c/ c++、classic、asp(与 vbsc ript)、cobol、coldfusion cfml、go、html、java(包括 android)、javasc ript/ajax、jsp、kotlin、mxml (flex)、objective c/ c++、php、pl/sql、python、ruby、swift、t-sql、vb.net、vbsc ript、visual basic 和 xml 等
2、 灵活的部署选项适应团队开发环境,
比如:fortify on demand 允许团队在完全基于 saas 的环境中工作;fortify hosted 通过在隔离的虚拟环境中工作,完全控制用户数据,为您提供 saas 和内部部署的效果;fortify on-prem 允许团队对增强解决方案的所有方面有的控制权。
3、 安全助理,为开发人员提供实时的代码、安全分析和结果。
它提供了结构和配置分析器,这些分析器是专门为速度和效率而建立的,以支持我们即时的安全反馈工具;安全助理只在 ide (包括 microsoft visual studio、eclipse 和 intellij 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。
安全助理还可以作为开发人员的额外工作助手,与静态扫描结合使用,源代码检测工具fortify工具,帮助获得更的安全问题视图。目前,所有 fortify sca 和fortify on-prem sca 的客户无需额外的---或费用,即可使用安全助理。
fortify sca 优势
1、 扫描快又准
? 在开发早期就捕获了大部分代码相关性问题;
? 识别并消除源代码、二进制代码或字节代码中的漏洞;
? 支持 27 种编程语言中 815 种的漏洞类别,并跨越超过 100 万个独立的 api;
?在 owasp 1.2b 基准测验中,真实阳性率为100%,证明了高度的准确性。
2、ci/cd 管道中的安全自动化
? 识别和优先处理构成威胁的漏洞,快速降低风险;
? 与ci/cd 工具充分集成,包括 jenkins, alm octane, jira, atlassian bamboo, azure devops,fortify工具, eclipse 和 microsoft visual studio 等;
? 实时---扫描结果并获得访问建议,通过代码行导航更快地发现漏洞和与审计开展协作。
3、节约开发时间和成本
? 嵌入 sdlc 后,开发时间和成本平均降低 25%,且早期修复漏洞成本比制作/发布后阶段低 30 倍;
? 发现漏洞数是原来的 2 倍,---率降低 95%;(数据来源:
? 通过在开发人员工作时对他们进行静态应用安全测试培训,满足安全编码实践要求。
代码---:fortify sca使用指南
静态代码分析器sca(static code ---yzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是sca重点确认的内容。sca可以做到快速准确定位修正场所,同时还可以定制安全规则。
在使用上sca主要按照如下步骤进行:
步骤1: 单独运行sca或者将sca与构建工具进行集成
步骤2: 将代码转换为临时的中间格式
步骤3: 对转换的中间格式的代码进行扫描,源代码扫描工具fortify工具,生成安全合规性的报告
步骤4: 对结果进行审计,一般通过使用fortify audit workbench打开fpr(fortify project results)文件或者将结果上传至ssc(fortify software security ws=)来进行分析,从而直接看到蕞终的结果信息
苏州华克斯信息-fortify工具由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念,拥有一支高素质的员工队伍,力求提供---的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。华克斯——您可---的朋友,公司地址:苏州工业园区新平街388号,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/280910410.html
关键词:
滇公网安备 53011202000392号