fortify sca价格-华克斯信息

Fortify SCA规则定义

Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:

我们在缺陷代码基础上增加了validate函数去做安全净化处理，fortify sca不能识别这个函数的作用。

再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数

另外新建规则还可以使用fortify自带的自定义用户规则向导，可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求，就在向导生成的xml基础上进一步更新吧。

Fortify SCA产品特性：

1．从多方面分析软件源代码，查找软件安全漏洞，是目前采用分析技术的，检查代码安全问题，其检查方式分别为：数据流、控制流、语义、配置流和代码结构

2．是目前能跨越软件不同层次和不同语言边界的静态分析技术，能安全漏洞引入的过程。

3．安全代码规则面，安全漏洞检查。目前包括150多种类别的安全漏洞，其安全代码规则多达50000多条。规则内容涉及， C/C++， C#， ColdFusion，Java，源代码检测工具fortify sca价格， JSP，源代码扫描工具fortify sca价格， PL/SQL， T-SQL， XML，VB.NET and other .NET等多种语言

4．支持多种国际软件安全的标准：OWASP、Payment Card Industry (PCI) Compliance、Federal Informati0n Security Management Act（FISMA）Common Weakness Enumeration（CWE）….。

5. 支持混合语言的分析，包括 ， C/C++， C#， Java?， JSP， PL/SQL，T-SQL， VB.NET， XML and other .NET languages. Fortify SCA 支持 Windows，源代码扫描工具fortify sca价格， Solaris， Linux， AIX，and Mac OS ….等多种操作系统

6. 支持自定义软件安全代码规则。

7．集成软件开发环境（Microsoft Visual Studio， IBM RAD， and Eclipse.）和自动产品构建过程。

8． 基于Web接口，能对企业多个项目进行集中的安全统计、分析和管理

Foritfy SCA主要包含的五大分析引擎：

数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

结构引擎：分析程序上下文环境，fortify sca价格，结构中的安全问题。

控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

特有的X-Tier?：跨跃项目的上下层次，贯穿程序来综合分析问题。