华克斯信息-fortify sca

Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

数据流分析引擎-----跟踪，源代码审计工具fortify sca，记录并分析程序中的数据传递过程的安全问题

语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

结构分析引擎-----分析程序上下文环境，结构中的安全问题

控制流分析引擎-----分析程序特定时间，fortify sca，状态下执行操作指令的安全问题

配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

特有的X-Tier?跟踪qi-----跨跃项目的上下层次，源代码扫描工具fortify sca，贯穿程序来综合分析问题

Secure

Coding

Rulepacks

?（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

Custom

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)

强化SCA与强化SSC之间的差异

WebInspect是与SSC匹配的动态代码分析工具。不幸的是，他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。

实际上WebInspect（使用WebInspect Enterprise集成到SSC中，这个控制台连接到SSC，有效地创建了一个新版本的AMP）和运行在Java或.NET应用程序上的Runtime产品（以前称为RTA），并且可以在运行时执行各种各样的事情（记录/停止攻击等） -

1

@Keshi现在他们为Jenkins提供插件，并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分

请说明，同样的analyzser.exe（也称为SCA）由Audit Workbench和各种SCA插件（maven，Jenkins，eclipse，Visual Studio，IntelliJ，XCode等）调用。 SSC不运行SCA。 SSC管理从SCA输出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07

fortifysca优点

工具支持自动检测版本更新，源代码检测工具fortify sca，工具和扫描规则可以方便进行更新，可以以线上、线下多种方式进行升级更新。更新频率不少于4次/年。

·

测试gao效、速度在可接受的范围内。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。

·

提供灵活的扫描分析方式，如支持用IDE插件直接扫描程序的目录，支持在命令行下扫描等。