云南fortify总代理-华克斯信息

Fortify SCA 扫描的结果如下：

Fortify SCA 的结果文件为.FPR 文件，包括详细的漏洞信息：漏

洞分类，漏洞产生的全路径，源代码扫描工具fortify总代理，漏洞所在的源代码行，漏洞的详细说明 及修复建议等。如下：

分级报告漏洞的信息                      项目的源代码                 漏洞推荐修复的方法

漏洞产生的全路

径的跟踪信息

漏洞的详细说明

图2：Foritfy AWB  查看结果

3．Fortify SCA 支持的平台：

4．Fortify

SCA 支持的编程语言：

5．Fortify SCA plug-In

支持的有:

6．Fortify SCA 目前能够扫描的安全漏洞种类有：

目前Fortify SCA可以扫描出约 300

种漏洞，Fortify将所有安全

漏洞整理分类，根据开发语言分项目，再细分为 8 个大类，约

300

个 子类：

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如HP Fortify SCA，被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多来说，源代码审计工具fortify总代理，HP Fortify SCA的报告被视为麻烦制造者，因为它们虽然指出了弱点（不论是真的或是误报），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

Lucent Sky AVM和静态程序码扫描工具一样会指出弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站脚本（XSS），SQL注入和路径处理这些常见的弱点。

以.NET（C＃和VB.NET）和Java应用程式来说，Lucent Sky AVM可以修正达90％所找到的弱点。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只会告诉你弱点在哪里，而Lucent Sky AVM会指出它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）HP Fortify SCA是被设计来供资安人士使用，因此设计理念是找出大量的结果，再依赖资讯安全来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点，并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。你可以深入了解Lucent Sky AMV的修正流程。

FortifySCA  PTA 无需源代码，部署简单方便

与QA测试活动结合，省时省力

自动化完成测试，提供安全漏洞信息，使修复漏洞更快，更容易

能达到较高的测试覆盖率，发现更多安全漏洞，测试更加全mian

软件开发人员：企业软件外包商或者内部开发人员。主要对所开发项目的漏洞进行修复。

安全测试人员，云南fortify总代理，主要从事使用Fortify SCA 对所有需要被测试项目的源代码进行安全测试。：一般为软件测试部的人员。

安全审计人员：主要从事软件安全漏洞审计的人员，一般与安全测试人员为同一个人。主要对所有项目的漏洞进行审计和漏洞信息发布。

项目管理人员：主要从事软件安全测试事宜的管理，监督。以及与外包商/开发团队的协调工作。一般为安全处/部人员