源代碼檢測工具fortify采購-華克斯

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

Fortify軟件如何工作？

Fortify是用于查找軟件代碼中的安全漏洞的SCA。我只是好奇這個軟件在內(nèi)部工作。我知道你需要配置一組代碼將被運行的規(guī)則。但是如何才能在代碼中找到漏洞。

有人有什么想法嗎？

提前致謝。

強化

任何想法如何適用于iOS應用程序？ Fortify是否有任何Mac軟件通過我們可以掃描iOS代碼Objective-C / Swift代碼？ -

HP Fortify SCA有6個分析器：數(shù)據(jù)流，控制流，語義，結(jié)構(gòu)，配置和緩沖。每個分析器都會發(fā)現(xiàn)不同類型的漏洞。

數(shù)據(jù)流量此分析儀檢測潛在的漏洞，這些漏洞涉及受到潛在危險使用的污染數(shù)據(jù)（用戶控制輸入）。數(shù)據(jù)流分析器使用全局的，程序間的污染傳播分析來檢測源（用戶輸入站點）和信宿（危險函數(shù)調(diào)用或操作）之間的數(shù)據(jù)流。例如，數(shù)據(jù)流分析器檢測用戶控制的長度的輸入字符串是否被到靜態(tài)大小的緩沖區(qū)中，并檢測用戶控制的字符串是否用于構(gòu)造SQL查詢文本。

控制流程此分析儀檢測潛在的危險操作序列。通過分析程序中的控制流程，源代碼掃描工具fortify采購，控制流程分析器確定一組操作是否以一定順序執(zhí)行。例如，控制流程分析器檢測使用時間的檢查/時間問題和未初始化的變量，并檢查在使用之前是否正確配置了諸如XML讀取器之類的實用程序。

結(jié)構(gòu)這可以檢測程序的結(jié)構(gòu)或定義中潛在的危險缺陷。例如，結(jié)構(gòu)分析器檢測對Java servlet中成員變量的分配，識別未聲明為static final的記錄器的使用，以及由于總是為false的謂詞將永遠不會執(zhí)行的死代碼的實例。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核工作臺和安全編碼插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全編碼包。

國際平臺與架構(gòu)

HP Fortify SCA在以下平臺上安裝時支持雙字節(jié)和國際字符集：

操作系統(tǒng)版本架構(gòu)

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業(yè)務

Vista Ultimate x86：32位

Oracle Solaris 10 x86

對于非英語平臺，不支持以下內(nèi)容：

操作系統(tǒng)：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架構(gòu)

應用服務器：Jrun，jBoss，BEA Weblogic 10

數(shù)據(jù)庫：DB2

注意：本版本中不包含本地化文檔。

語言

HP Fortify SCA支持以下編程語言：

語言版本

，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++請參見“編譯器”

經(jīng)典ASP（帶VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，源代碼檢測工具fortify采購，DB2，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

Acti***cript / MXML 3和4

XML 1.0

ABAP / 4

構(gòu)建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或更高版本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統(tǒng)

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發(fā)環(huán)境

適用于Eclipse的HP Fortify軟件安全中心插件和用于Visual Studio的HP Fortify Software Security Center軟件包在以下平臺上受支持：

操作系統(tǒng)IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，源代碼審計工具fortify采購，3.3，3.4，3.5，華南fortify采購，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上運行的Eclipse 3.4+。但是，HP Fortify軟件安全中心確實支持在64位平臺上在32位JRE上運行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服務集成：

服務應用版本支持的工具

Bug創(chuàng)建Bugzilla 3.0審核工作臺，

Visual Studio SCP，

Eclipse SCP

惠普質(zhì)量中心9.2，10.0審核工作臺，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平臺上安裝用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安裝HPQC客戶端加載項軟件。

注意：Team Foundation Server集成需要您安裝Visual Studio Team Explorer軟件。

FortifySCA介紹

支持對測試結(jié)果進行分類或劃分，并分發(fā)給不同的人進行確認和修復。

·

對工具和安全代碼規(guī)則可以進行集中配置和管理，使分散在不同地點的測試機統(tǒng)一更新，提高了效率，保證了版本的一致性。

·

支持將測試結(jié)果在企業(yè)內(nèi)部進行發(fā)布，使開發(fā)人員，測試人員，安全人員和管理人員可以通過WEB瀏覽器進行查看和審計。實現(xiàn)多個部門之間的協(xié)同工作，加強對問題的快速反應，提高管理能力，提高工作效率。

·

能夠按用戶和角色的不同來進行權(quán)限的劃分，方便企業(yè)內(nèi)各個團隊的交流和溝通，同時保證了測試結(jié)果的保密性。