源代码审计工具fortify总代理-华克斯信息

–  HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u  确定源代码安全风险评估的审查目标

u  使用Fortify执行初步扫描并分析安全问题结果

u  审查应用程序的架构所特有的代码安全问题

在第yi步中，源代码扫描工具fortify总代理，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险gao的区域。

在审查主要代码过程中，我们的源代码安全分析人员对代码进行审查来寻找常见安全问题，源代码检测工具fortify总代理，比如大家熟悉的缓冲区溢出、跨站点脚本，SQL注入等。终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或授权程序等。

FortifySCA与强化SSC之间的差异

Fortify SCA和Fortify SSC有什么区别？这些软件产生的报告是否有差异。我知道Fortify SSC是一个基于网络的应用程序。我可以使用Fortify SCA作为基于Web的应用程序吗？

Fortify SCA以前被称为源代码分析器（在fortify 360中），但现在是静态代码分析器。相同的首字母缩略词，相同的代码，只是名字改变了。

SSC（“软件安全中心”）以前称为Fortify 360 Server。惠普重新命名并进行了其他更改。

SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码（通过sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打开该文件，fortify总代理，或将其上传到SSC，您可以在其中跟踪趋势。

审计工作台与SCA一起安装;它是一个图形应用程序，允许您查看扫描结果，源代码审计工具fortify总代理，添加审核数据，应用过滤器和运行简单报告。

另一方面，SSC是基于网络的;这是一个可以安装到tomcat或您喜欢的应用程序服务器的java。关于SSC的报告使用不同的技术，更适he运行集中度量。您可以报告特定扫描的结果，或历史记录（当前扫描与之前的扫描之间发生变化）。如果您想要扫描扫描的差异，趋势，历史等，请在上传FPR一段时间后使用SSC进行报告。

没有SSC，基本报告功能允许您将FPR文件（二进制）转换为xml，pdf或rtf，但只能给出特定扫描的结果，而不是历史记录（当前扫描和任何早期的）。

关闭主题：还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件，可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描，WebInspect Enterprise可以做到这一点。

fortifysca优点

工具支持自动检测版本更新，工具和扫描规则可以方便进行更新，可以以线上、线下多种方式进行升级更新。更新频率不少于4次/年。

·

测试gao效、速度在可接受的范围内。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。

·

提供灵活的扫描分析方式，如支持用IDE插件直接扫描程序的目录，支持在命令行下扫描等。