企业等级: | 商盟会员 |
经营模式: | 商业服务 |
所在地区: | 江苏 苏州 苏州市 |
联系卖家: | 华克斯 先生 |
手机号码: | 13862561363 |
公司官网: | hksxxkj.tz1288.com |
公司地址: | 苏州工业园区新平街388号 |
发布时间:2022-04-22 10:37:00 作者:华克斯
fortifySCA审计功能要求
·
对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的合理划分。如Critical,High,Medium,Low四个级别。
用户能够根据企业自身需要来调整和修改问题的默认分级策略,方便审计。
迅速、准确定位某一特定安全漏洞所在的源代码行,对问题产生的整个过程进行跟踪,并能以图形化的形式展现。
提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。
提供与之前扫描结果的比较,指出本次扫描出来的新问题,并且能够与以前的审计结果进行合并,减少重复审计工作。
支持按文件名、API、漏洞类型、严重等级等进行分类、过滤、查询、统计。支持对漏洞信息的全文检索功能,可以从其中快速检索到指ding类别或者名称的漏洞信息。
FortifySCA优点
Secure Coding Rulepacks ?(安全编码规则包)
Audit Workbench(审查工作台)
Custom Rule Editor & Custom
Rule Wizard(规则自定义编辑器和向导)
Developer Desktop (IDE 插件)
其主要特点:
1.集中管理
2.化分优先级
3.标记趋势
4.
协同工作平台
5.产生多种报表
Fortify软件
强化静态代码分析器
使软件更快地生产
语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。
配置此分析器在应用程序的部署配置文件中搜索错误,弱点和策略违规。
缓冲区此分析仪检测缓冲区溢出漏洞,涉及写入或读取比缓冲区容纳的更多数据。
分享这个***
于十二月二十四日十二时十七分
感谢你非常有用的信息。你知道这些分析仪在内部工作吗?如果您提供一些细节,我将非常感谢。 - 新手十二月27'12 at 4:22
1
有一个很好的,但干燥的书的主题:amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09
现在还有一个内容分析器,尽管这与配置分析器类似,除非在非配置文件中搜索问题(例如查找HTML,JSP for XPath匹配) - lavamunky 11月28日13日11:38
@LaJmOn有一个非常好的***,但在完全不同的抽象层次,我可以用另一种方式回答这个问题:
您的源代码被转换为中间模型,该模型针对SCA的分析进行了优化。
某些类型的代码需要多个阶段的翻译。学到更多应用安全强化应用安全性静态和动态应用程序安全测试,以便在利用漏洞之前查找和修复漏洞。例如,需要先将C#文件编译成一个debug.DLL或.EXE文件,然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language(MSIL)。而像其他文件(如Java文件或ASP文件)由相应的Fortify SCA翻译器一次翻译成该语言。
SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。
匹配被写入FPR文件,漏洞匹配信息,安全建议,源代码,源交叉引用和代码导航信息,用户过滤规范,任何自定义规则和数字签名都压缩到包中。
转移景观
语言支持也得到了扩展,完全支持PHP,JavaScript,COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。·提供灵活的扫描分析方式,如支持用IDE插件直接扫描程序的目录,支持在命令行下扫描等。Fortify SCA以前一直支持C#,VB.NET,Java和C / C ++,ColdFusion和存储过程语言,如Microsoft TSQL和Oracle PL / SQL。
“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快,”Meftah解释说。 “这些COM语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
SANS Institute互联网风暴中心***研究员Johannes Ullrich表示,Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”Ullrich说。 “这是一个巨大的时间保护,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码审查。
Fortify SCA旨在与现有工具和IDE集成,包括Microsoft Visual Studio,Eclipse和IBM Rapid Application Developer(RAD)。Twitter上的HPESecurityLinkedIn上的HPESecurity与***联系,并讨论混合环境中新威胁和风险的***xin信息。基于Java的套件运行在各种操作系统上,包括Windows,Linux,Mac OS X和各种各样的Unix。
许可证的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(Michael Desmond)是1105媒体企业计算组织的编辑兼作家。
免责声明:以上信息由会员自行提供,内容的真实性、准确性和合法性由发布会员负责,天助网对此不承担任何责任。天助网不涉及用户间因交易而产生的法律关系及法律纠纷, 纠纷由您自行协商解决。
风险提醒:本网站仅作为用户寻找交易对象,就货物和服务的交易进行协商,以及获取各类与贸易相关的服务信息的平台。为避免产生购买风险,建议您在购买相关产品前务必 确认供应商资质及产品质量。过低的价格、夸张的描述、私人银行账户等都有可能是虚假信息,请采购商谨慎对待,谨防欺诈,对于任何付款行为请您慎重抉择!如您遇到欺诈 等不诚信行为,请您立即与天助网联系,如查证属实,天助网会对该企业商铺做注销处理,但天助网不对您因此造成的损失承担责任!
联系:tousu@tz1288.com是处理侵权投诉的专用邮箱,在您的合法权益受到侵害时,欢迎您向该邮箱发送邮件,我们会在3个工作日内给您答复,感谢您对我们的关注与支持!
苏州华克斯信息科技有限公司 电话:0512-62382981 传真:0512-62382981 联系人:华克斯 13862561363
地址:苏州工业园区新平街388号 主营产品:Loadrunner,Fortify,源代码审计,源代码扫描
Copyright © 2024 版权所有: 天助网 增值电信业务经营许可证:粤B2-20191121
免责声明:以上所展示的信息由企业自行提供,内容的真实性、准确性和合法性由发布企业负责。天助网对此不承担任何保证责任。
您好,欢迎莅临华克斯,欢迎咨询...