fortify采购-华克斯(推荐商家)

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如HP Fortify SCA，被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多***来说，HP Fortify SCA的报告被视为麻烦制造者，因为它们虽然指出了弱点（不论是真的或是误报），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

Lucent Sky AVM和静态程序码扫描工具一样会指出弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站脚本（XSS），SQL注入和路径处理这些常见的弱点。

以.NET（C＃和VB.NET）和Java应用程式来说，源代码审计工具fortify采购，Lucent Sky AVM可以修正***达90％所找到的弱点。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只会告诉你弱点在哪里，而Lucent Sky AVM会指出它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）HP Fortify SCA是被设计来供资安***人士使用，因此设计理念是找出大量的结果，再依赖资讯安全***来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点，并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。你可以深入了解Lucent Sky AMV的修正流程。

FortifySCA与强化SSC之间的差异

Fortify SCA和Fortify SSC有什么区别？这些软件产生的报告是否有差异。我知道Fortify SSC是一个基于网络的应用程序。我可以使用Fortify SCA作为基于Web的应用程序吗？

Fortify SCA以前被称为源代码分析器（在fortify 360中），但现在是静态代码分析器。相同的首字母缩略词，相同的代码，只是名字改变了。

SSC（“软件安全中心”）以前称为Fortify 360 Server。惠普重新命名并进行了其他更改。

SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码（通过sourceanalyzer或），源代码扫描工具fortify采购，生成FPR文件，然后使用Audit Workbench打开该文件，或将其上传到SSC，您可以在其中跟踪趋势。

审计工作台与SCA一起安装;它是一个图形应用程序，允许您查看扫描结果，添加审核数据，应用过滤器和运行简单报告。

另一方面，SSC是基于网络的;这是一个可以安装到tomcat或您***喜欢的应用程序服务器的java***。关于SSC的报告使用不同的技术，更适he运行集中度量。您可以报告特定扫描的结果，或历史记录（当前扫描与之前的扫描之间发生变化）。如果您想要扫描扫描的差异，趋势，历史等，源代码检测工具fortify采购，请在上传FPR一段时间后使用SSC进行报告。

没有SSC，基本报告功能允许您将FPR文件（二进制）转换为xml，pdf或rtf，但只能给出特定扫描的结果，而不是历史记录（当前扫描和任何早期的）。

关闭主题：还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件，可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描，WebInspect Enterprise可以做到这一点。

fortifySCA发现静态代码（静态分析）和运行中的应用（动态分析）中存在的安全漏洞的根源

?发现超过570种的漏洞类型，支持21种开发语言和超过680000个API

?通过协作更快地修复***的安全问题

?控制已部署软件中已经存在的漏洞，使其不产生危害

?管控软件安全流程

?通过利用业界领xian的致力于持续研究应用安全的团队来预防风险

确保与***和行业的合规标准以及内部策略一致，例如支付卡行业数据安全标准（PCI

DSS），fortify采购，联邦信息安全管理法案（FISMA），萨班斯法案（SOX），Health Insurance Portability and Accountability Act

(HIPAA)， North American Electric Reliability Corporation (NERC) 标准等。