当前位置: 首页 > 工具软件 > fortify > 使用案例 >

fortify hp 价格_HP Fortify 静态代码分析器(SCA)

曾皓
2023-12-01

检查潜伏在代码中的安全问题

Fortify 的静态代码分析器(Static Code Analyzer ,SCA)是组成Fortify 360的三个分析器之一。SCA工作在开发阶段,以用于分析应用程序的源代码是否存在安全漏洞。这种类型的分析与程序跟踪分析器和实时安全分析器相比,它 不但能够发现只能在静态情况下才能发现的新的漏洞,而且也能在测试和产品阶段验证已经发现的漏洞。

通过分析应用程序可能会执行的所有可能的路径,SCA能够从源代码上识别软件的漏洞。它的优秀特性使其可以在更短的时间内审查更多的代码,并可以帮助开发者花费更少的精力来确定问题解决问题。

SCA的结果可以输出到Fortify 360控制台,该控制台对来自3个分析器的结果进行汇总,以给你一个关于应用程序的全面的看法并使修复和审计成为一个简单的过程。

业界最完整的静态代码分析器

SCA 在发现和分析漏洞方面是全面的。SCA的分析引擎和已获得专利的X-Tier™数据流分析器(专利编号#7207065 )在一个其它技术无法到达的深度对问题进行广泛检测。SCA的分析引擎以最大和最全面的安全编码规则为基础,该规则中的漏洞类别超过200种,并且 Fortify Software的安全专家们还在不断的更新这些规则。

在确认安全漏洞上的无与伦比的准确性

SCA 在提供准确的结果方面相当的优异。由于其成熟的引擎技术和精确的安全编码规则,故其以非常低的误报率对问题进行排名和分类。安全编码规则可以自动更新到先 进的、切合时宜的能准确地识别漏洞的安全专业知识。另外,没有一个应用软件会和其它软件具有一模一样的风险特征,它们也不可能以同样的方式建立,因 此,SCA在包含的基本特征的基础上,进一步调用源代码分析器分析那些特殊的应用、组件或Web服务。

适应你的环境中

SCA 已建得可以适应你的组织的环境。它的规模可以从每天的日常编译到全面的审计数百万行的代码,同时它还支持一系列语言、平台、编译环境和集成开发环境 (IDE)。由于目标不同可由个人或团体来调用不同的分析标准。由于应用程序需要独特的规则,SCA提供了一个方便易用的Rules Builder,用户可以自定义分析。SCA提供了巨大的灵活性,以满足任何额外的要求。

特 色

优 点

规则的开发和管理现在集成到了审计工作台

规则写入向导:让用户通过回答一系列的问题来快速创建自定义规则集,这些问题是依据独特的编码标准或针对代码中的问题而设计的专有的库

规则包管理:Fortify SCA管理规则包的界面使用户能够很快地概要地了解一个规则包并且允许快速筛选、排序和编辑规则

规则编辑器:针对高级用户,Fortify的XML编辑器为自定义的规则提供语法高亮显示、代码完成、确认和内置错误的报告

观察API扫描情况:Fortify SCA提供了一个界面,以展示在一个项目中所使用的各种不同的API并对没有被Fortify的安全编码规则包(Fortify Secure Coding Rulepacks)所覆盖的API进行高亮显示。从这个界面中,用户可以轻松地为相关的API创建新的自定义规则

审 计

审计工作台

审计工作台快速和有效的分类、审查和审计:多种排序、过滤和组织的功能可以使重要的问题成为关注的焦点。包括AuditGuide技术以便有效地基于软件的结构和组件的细节将问题划分优先次序。

审计能力

问题评论过程:审计员和开发者的意见是有时间戳标记的且以用户名作为标记,并为每个问题提供一个活动的时机并方便关键利益相关者进行讨论。

审计历史:在一个问题上执行的每一个行动都记录在时间表上,包括时间戳、执行这个操作的人的用户名

自定义问题的标签:开发者和安全审计员能够定义或添加自定义问题的属性从而有助于对问题进行分类和跟踪

与人工审计相集成:在人工代码审计或其它形式的安全测试期间发现的问题能够被集成到审计工作台。到目前为止,所有代码级的安全性问题都可以合并到Fortify SCA分析器

对问题划分优先级:Fortify SCA有对问题划分优先级的能力,这大大降低了审计时间并提高了审计员的效率。具体而言,通过使用Fortify SCA,用户可以:

——基于组织的目录对问题进行分类。

——创建自定义的问题文件夹并通过创建过滤器来自动将特定类型的问题放到文件夹中,或将某些问题放到一起

分 析

全面的源代码分析引擎

独特而强大的分析技术,利用专门的引擎检测各种各样的漏洞

数据流引擎:使用正在申请专利的X-Tier Dataflow™ analysis跟踪输入的污点数据如何访问应用程序的架构层次和编程语言的边界

语义分析引擎:探测那些易受攻击的功能或程序,并理解它们的背景

控制流分析引擎:准确地跟踪业务运行的先后顺序,来发现不适当的代码结构。

配置分析引擎:在相互作用的配置与代码中跟踪安全漏洞

结构分析引擎:从代码结构上确定漏洞和问题

分析技术

程序间的控制流:Fortify的控制流分析已经增强了程序间的算法以在整个代码基础上提供深入分析

缓冲区溢出的分析:Fortify SCA部署了一个特殊的分析器来检测缓冲区溢出——C/C++代码中最大的安全问题

偏差分析:Fortify SCA查看缺陷统计,在代码的基础上通过检测偏差的情况来发现严重的缺陷

不可行路径分析:基于代码执行一个单独的分析,以寻找和消除那些可能会导致误报的虚假路径

无限多维的污点传播:这种能力有助于找到细微可利用的bug,这在寻找隐私数据管理失败和PCI相关错误时特别有用

基于强制的脆弱性排名:从代码中提取一套Boolean约束方程并使用约束求解,以对一个不良的编码实践被利用的可能性进行排名

联合的故障诊断:通过将遵循相同的代码模式的结果进行关联,用户可以消除整类的误报

审计指南:消除误报的能力是基于程序员所阐述的设计决定

报 告

重新设计报告:在审计工作台(Audit Workbench)和IDE上处理的所有报告允许进行重新设计以提高报告的灵活性

报告向导:通过Fortify SCA,用户能快速控制报告中的数据并自定义报告中问题的组织方式

报告格式:所有的报告可以导出为PDF、HTML、XML和RTF格式

协 作

团队服务器(Team Server)

协作审计:团队成员可以公布源代码扫描的结果到一个基于Web的应用程序上,以便对问题进行审查、评论和分类

代码导航:团队服务器(Team Server)基于其HTML界面,支持强大的代码导航功能。用户可以方便地浏览与问题关联的文件,并在文件中以高亮的方式显示,并检查分析代码内部的假设

合并SCA扫描:后续的扫描上传到团队服务器(Team Server)并将并入现有的扫描。问题便可以进行新的分组,可以又快又容易地确定现有的和已删除的问题进展

易于安装:团队服务器(Team Server)很容易部署到开发团队并且不需要一个单独的数据库或应用程序服务器

开 发

准确和精确的分析:分析器在超过150种漏洞分类规则的基础上识别安全漏洞,Fortify Software的安全专家们正不断地扩大和自动更新分析器确定安全漏洞的规则。Fortify SCA对确定的漏洞进行分类和确定优先级,以提供一个详细和正确的行动计划

开发模式: Fortify SCA现在支持以开发者为中心的模式,以便把重点放在众所周知的质量问题上,如空指针的废弃、内存泄漏等

支持多种编程语言、 IDE和操作系统:Fortify SCA支持各种不同的开发环境、开发语言、平台和框架,支持在混合的软件开发和产品环境中进行安全审查

容易集成到编译环境中:Fortify SCA与编译环境的一体化使入门快速而简便。与编译功能的无缝衔接特性,使IDE的集成和命令行界面保持与编译环境的简洁的一体化

集 成

与Fortify Manager的集成

Fortify SCA的结果可以集成到Fortify Software,基于Web的报告与控制的控制台,作出调查结果和metrics图,包括项目的趋势,在一批项目中进行比较的结果、以及其它对利益相关者有用的信息。

与黑盒安全测试的集成

Fortify SCA与领先的黑盒安全性测试相集成,以提高黑盒测试的成效,并进一步划分安全问题的优先级以便于修复

与FindBugs集成

Fortify SCA与领先的开放源代码的Java的bug-finding相集成,以帮助节省通过集中式报告审查安全和质量缺陷的时间

交互式的数据流图

基于UML的标准提供更好的可读性使开发者可以方便的寻找、点击代码

规则的开发和管理

Rules Builder提供扩展和定制功能

Fortify SCA的Rules Builder增强和扩大了Fortify SCA的引擎。根据您的情况或环境自定义规则,可以为您提供更好的结果

 类似资料: