源代码检测工具fortify扫描-苏州华克斯信息

Fortify SCA 简介

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在

的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的 提供。

1．Fortify

SCA 扫描引擎介绍：

Foritfy   SCA

主要包含的五大分析引擎：

z   数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生

的安全问题。

z 语义引擎：分析程序中不安全的函数，源代码检测工具fortify规则库，方法的使用的安全问题。

z 结构引擎：分析程序上下文环境，源代码检测工具fortify报告中文插件，结构中的安全问题。

z   控制流引擎：分析程序特定时间，状态下执行操作指令的安全 问题。

z   配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全

问题。

z   特有的 X-Tier?跟zong器：跨跃项目的上下层次，贯穿程序来综合 分析问题

FortifySCA报表及测试结果管理功能要求

·

能够针对客户的个性化需求，勾选报表模板中的内容，并且可以自定义报表模板。包含加入用户企业的LOGO。

·

提供多种格式的检测报告，如：PDF、Xml，Word等。

·

提供将测试结果与OWASP

2007/2010/2013 ***0漏洞的比较性报表。

·

能够编辑以往有效成功的修复经验描述在系统中，并可以整合在报告中输出，共享漏洞修复的经验。

·

测试结果可以以文件形式保存，无需数据库支持，减少部署时间和成本，也可以将测试结果作为测试资产集中存储在商用的数据库中，以便测试资产管理和备份工作。

·

对企业中多个项目的多次测试结果进行统一管理，源代码检测工具fortify扫描，能够按项目或项目开发语言等多种方式查看测试结果的发展趋势，帮助管理人员定制安全策略。

Fortify SCA 的工作原理：

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码（如 JAVA，C/C++源代码）转换成一种中间媒体文件 NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST，黑龙江源代码检测工具fortify， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。形成 包含详细漏洞信息的 FPR 结果文件，用 AWB 打开查看。