fottify全名叫:fortify sca ,是hp的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,fortify工具,并给予整理报告。
fortifysca支持的21语言,源代码审计工具fortify工具,分别是如下图:
fortify “project summary(项目摘要)”面板:
“project summary(项目摘要)”面板提供了关于扫描的详细信息。
“summary(摘要)”选项卡
“certification()”选项卡
“build information(build 信息)”选项卡
“---ysis information(分析信息)”选项卡
项目摘要面板
“summary(摘要)”选项卡:
“summary(摘要)”选项卡显示了关于本项目的信息。
“certification()”选项卡:
“certification()”选项卡显示了结果状态。结果用于检查 fpr 文件是否与 fortify sca 所生成的文件一致。
fortify sca扫描结果展示
1.根据漏洞的可能性和---性进行分类筛选
我们观察fortify扫描的每一条漏洞,会有如下2个标识,---性(impact)和可能性(likehood),这两个标识的取值是从0.1~5.0,我们可以根据自己的需要筛选展示对应---性和可能性范围的漏洞,这些漏洞必须修复,其他不---的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是---或者体育类应用,那么我们可以把阈值调高,源代码扫描工具fortify工具,增加漏报率,降低---率。如果我们的应用是金融---或交易类应用,那么我们可以把阈值调低,增加---率,降低漏报率
源代码审计工具fortify工具-苏州华克斯由苏州华克斯信息科技有限公司提供。“loadrunner,fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/282967259.html
关键词:
滇公网安备 53011202000392号