源代码扫描工具fortify-华克斯

FortifySCA扫描分析功能要求

·        

跟踪可yi的输入数据，直到该数据被不安全使用的全过程中，源代码扫描工具fortify，分析数据使用中的安全隐患。

·        

发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，识别出使用特定函数或者过程带来的软件安全的隐患。

·        

jing确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。

·        

自动分析软件的配置和代码的关系，发现在软件配置和代码之间，由于配置丢失或者不一致而带来的安全隐患。

Fortify软件

强化静态代码分析器

使软件更快地生产

转移景观

语言支持也得到了扩展，完全支持PHP，JavaScript，COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。Fortify SCA以前一直支持C＃，VB.NET，Java和C / C ++，ColdFusion和存储过程语言，如Microsoft TSQL和Oracle PL / SQL。

“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快，”Meftah解释说。 “这些COM语言的安装基础很大，我们从我们的安装基础和其他方面得到了很多查询。”

SANS Institute互联网风暴中心研究员Johannes Ullrich表示，Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。

“我认为[代码分析工具]的部署方式不足，我看到很少使用它们，通常只适用于大型企业项目，”Ullrich说。 “这是一个巨大的时间保护，它没有找到所有的漏洞，但它找到标准的东西，它需要很多繁忙的代码审查。

Fortify SCA旨在与现有工具和IDE集成，包括Microsoft Visual Studio，Eclipse和IBM Rapid Application Developer（RAD）。基于Java的套件运行在各种操作系统上，源代码扫描工具fortify一年多少钱，包括Windows，Linux，Mac OS X和各种各样的Unix。

许可证的基准价格为每位开发人员约1，200美元，另外还需支付维护费用，源代码扫描工具fortify代理商，并订阅更新的代码规则以防止出现的漏洞。

关于作者

迈克尔·德斯蒙德（Michael Desmond）是1105媒体企业计算组织的编辑兼作家。

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如HP Fortify SCA，被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多来说，HP Fortify SCA的报告被视为麻烦制造者，因为它们虽然指出了弱点（不论是真的或是误报），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

Lucent Sky AVM和静态程序码扫描工具一样会指出弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站脚本（XSS），SQL注入和路径处理这些常见的弱点。

以.NET（C＃和VB.NET）和Java应用程式来说，Lucent Sky AVM可以修正达90％所找到的弱点。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只会告诉你弱点在哪里，而Lucent Sky AVM会指出它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）HP Fortify SCA是被设计来供资安人士使用，源代码扫描工具fortify价格表，因此设计理念是找出大量的结果，再依赖资讯安全来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点，并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。你可以深入了解Lucent Sky AMV的修正流程。