fortify规则-苏州华克斯信息

–  HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u  确定源代码安全风险评估的审查目标

u  使用Fortify执行初步扫描并分析安全问题结果

u  审查应用程序的架构所特有的代码安全问题

在第yi步中，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险gao的区域。

在审查主要代码过程中，我们的源代码安全分析人员对代码进行审查来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨站点脚本，SQL注入等。终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，源代码检测工具fortify规则，如自定义身份验证或授权程序等。

Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题

语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

结构分析引擎-----分析程序上下文环境，结构中的安全问题

控制流分析引擎-----分析程序特定时间，fortify规则，状态下执行操作指令的安全问题

配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

Secure

Coding

Rulepacks

?（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

Custom

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)

Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

Fortify SCA 5.0提供从未在应用程序安全性中提供的功能，涵盖企业需要加速安全开发的三个关键领域：

- 定制 - 绝大多数今天的企业都有自定义的

应用程序，安全过程和反映他们的编码风格

竞争力。任何成功的应用安全实现

必须适应各企业发展需要的性。

Fortify SCA 5.0使企业能够为其创建自定义规则

他们的任务关键应用程序，以及给安全人员

和其他非开发团队成员有能力创建规则

分钟，而不是几天，而不需要先前的编码

经验。

- 协作 - 安全审核员的扩展团队，合规性

，发展主管和管理软件

发展跨度时区和组织图。强化SCA 5.0

使开发人员和审计人员能够在代码审查，安全性方面进行协作

错误分类和审核作为一个复杂的开发项目的团队。

- 全mian

- Fortify帮助企业部署全mian的

保护过去，现在和未来应用的安全策略。如

不断变化的黑ke带来了新的漏洞类

景观和新技术，如Web 2.0。并且继续使用漏洞

要发展，安全和发展团队必须采取一切可能的步骤

确保他们的软件。通过PHP和JavaScript支持，源代码审计工具fortify规则，Fortify SCA

5.0帮助开发团队面向未来的应用程序。为了遗产

应用程序，Fortify SCA 5.0将支持COBOL和Classic ASP

保护旧的任务关键型应用程序 - 特别是它们

由SOA部署暴露。

“选择应用程序安全测试技术时，企业应该将这些产品集成到流xing的开发和测试工作室（如Eclipse或Visual Studio）中，分析编程语言的数量以及测试能力的速度和规模，”Joseph说费曼，Gartner副总裁兼Gartner研究员。

“存托信托结算公司通过其子公司为股piao，公司和市政，货币市场工具，和担bao证券以及非处fang衍生工具提供，结算和信息服务，我们是共同基jin和保险交易的领xian处理商，将基jin和运营商与其分销网络联系起来，安全性对我们的业务至关重要，“DTCC信息安全官员Jim Routh说。 “像许多企业一样，我们的软件基础设施是传统应用程序和新应用程序的结合，因此我们需要一种解决方案，可以处理我们环境中的技术多样性，并将其轻松集成到我们的开发环境中。这样有效“。

Fortify公司的Barmak Meftah补充说：“Fortify一直是广泛覆盖语言，源代码审计工具fortify规则，平台和IDE（集成开发环境）的，随着这一发布，我们将领导层扩展到四种新语言并支持RSA IDE。产品与服务副总裁。 “Fortify SCA 5.0为我们的客户提供了更深层次的控制，分析和协作，以保护他们免受许多流xing和快速发展的Web 2.0编程语言和技术（包括JavaScript和PHP）中的威胁。