一、 fortify sca概述
1、source code ---ysis 阶段概述
audit workbench 会启动 fortify sca“scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段:
转换:使用源代码创建中间文件,源代码与一个 build id相关联,build id通常就是项目名称。
扫描与分析:扫描中间文件,分析代码,并将结果写入一个fortify project results(fpr)文件。
校验:---所有源文件均包含在扫描过程中,使用的是正确的规则包,源代码审计工具fortify价格表,且没有报告重大错误。
2、安全编码规则包概述
安全编码规则包是 fortify software 安全研究小组多年软件安全经验的体现,并且经过其不断努力改进而成。这些规则是通过对编码理论和常用编码实践的研究,而取得的软件安全知识的---积累,fortify价格表,并且在 fortify software 安全研究小组的努力下不断扩展和改进。每个安全编码规则包均包含大量的规则,每个规则定义了一个被 source code ---ysis 检测出的特定异常行为。
一旦检测出安全问题,安全编码规则包会提供有关问题的信息,让开发人员能够计划并实施修复工作,这样比研究问题的安全细节更为有效。这些信息包括关于问题类别的具体信息、该问题会如何者利用,以及开发人员如何---代码不受此漏洞的威胁。
安全编码规则包支持多种编程语言,也支持各种经过扩展的第三方库和配置文件。
有关当前安全编码规则包的信息,请参见<安全编码规则包参考>。
fortify source code ---ysis engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,源代码检测工具fortify价格表,结构分析引擎,源代码检测工具fortify价格表,控制流分析引擎,配置分析引擎和特有的x-tier---同的方面查看代码的安全漏洞,化降低代码安全风险。
fortify secure code rules:fortify(软件安全代码规则集)
采用国际---的安全漏洞规则和众多软件安全的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用,包括美国国土安全(cwe)标准、owasp,pci。。。等。
fortify audit workbench (安全审计工作台)
辅助开发人员、安全审计人员对fortify source code ---ysis engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题---级别。
fortify rules builder(安全规则构建器)
提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。
fortify source code ---ysis suite plug in (fortify sca ide集成开发插件)
fortify分析结果
1、导航并查看分析结果
在您打开一个用来查看 fortify source code ---yzer (fortify sca) 所检测到的问题的 audit workbench 项目之后,您可以在 summary(摘要)面板中审计这些问题,以反映这些问题的---级别,以及对该问题执行的安全分析状态。
系统会按审计结果的---性以及准确性,对审计结果进行分组,并在默认情况下将问题识别为位于“issues(问题)”面板中的 hot(---)列表内。单击 warning(---)和 info(信息),查看分组在这些列表中的问题。
每个列表中的问题数量显示在相关按钮下面。
要检验与 issues(问题)面板中所列问题相关的代码,选中该问题。源代码部分包含显示在源代码查看器面板中的问题,并在面板的中显示文件所包含问题的名称。
2、审计结果分析
本练习将会引导您浏览一下在练习 3 中使用 fortify sca 分析小程序产生的结果。请您检查 fortify sca 中各种不同分析器所发现的问题,并比较 fortify sca 生成的各种不同输出格式。
请考虑 userserv.java 的内容:
苏州华克斯-源代码审计工具fortify价格表由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司拥有---的服务与产品,不断地受到新老用户及业内人士的肯定和---。我们公司是商盟会员,---页面的商盟图标,可以直接与我们人员对话,愿我们今后的合作愉快!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/282365290.html
关键词:
滇公网安备 53011202000392号