• 2019体彩31选7:Fortify

  • Fortify SCA簡介:

    31选7走势图及开奖 www.scyizy.com.cn Fortify SCA 是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析,分析的過程中與它特有的軟件安全漏洞規則集進行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,并給予整理報告。掃描的結果中不但包括詳細的安全漏洞的信息,還會有相關的安全知識的說明,以及修復意見的提供。

    Fortify SCA 產品組件介紹

    Fortify SCA是一個產品的套件,它是由內置的分析引擎、安全編碼規則包、審查工作臺、規則自定義編輯器和向導、IDE 插件五部分組件,五個組件配合工作完成對源代碼安全漏洞的掃描,分析,查看,審計等工作。簡單介紹這五個部分如下:

  • 分析引擎:內置五大分析引擎與規則包配合工作,從五個側面全面地分析程序源代碼中的安全漏洞。

  • 安全編碼規則包:由多位頂級的軟件安全專家,多年研究出來的數十萬條軟件安全漏洞特征的集合。目前能查找出來約350多種安全漏洞,內置在SCA中與分析引擎配合工作。

  • 審計工作臺:一個用來查看,審計SCA分析出來的漏洞結果的綜合平臺,它包含大量豐富的軟件漏洞信息,如下圖2 所示,它包括了漏洞的分級,漏洞產生的全過程,漏洞所在的源代碼行數定位,以及漏洞的解釋說明和推薦的修復建議等內容,極大地方便地用戶對SCA的查看,審計等工作。

  • 規則自定義向導/編輯器:Fortify SCA的規則支持自定義功能,方便用戶來擴展SCA對漏洞的分析能力,所以SCA提供了一個用戶自定義的向導和編輯器。

  • IDE插件:為了方便用戶使用SCA對程序源代碼進行安全掃描,它提供了多種IDE工具的插件,如Eclipse, Visual Studio,RAD, WSAD等。

      Fortify SCA 掃描引擎介紹

      Foritfy SCA主要包含的五大分析引擎:

    • 數據流引擎:跟蹤、記錄并分析程序中的數據傳遞過程所產生的安全問題。

    • 語義引擎:分析程序中不安全的函數,方法的使用的安全問題。

    • 結構引擎:分析程序上下文環境,結構中的安全問題。

    • 控制流引擎:分析程序特定時間,狀態下執行操作指令的安全問題。

    • 配置引擎:分析項目配置文件中的敏感信息和配置缺失的安全問題。

    • 特有的X-Tier?跟蹤器:跨躍項目的上下層次,貫穿程序來綜合分析問題

      Fortify SCA 的工作原理

      Foritfy SCA 首先通過調用語言的編譯器或者解釋器把前端的語言代碼(如JAVA,C/C++源代碼)轉換成一種中間媒體文件NST(Normal Syntax Tree)將其源代碼之間的調用關系,執行環境,上下文等分析清楚。然后再通過上述的五大分析引擎從五個切面來分析這個NST,匹配所有規則庫中的漏洞特征,一旦發現漏洞就抓取出來。最后形成包含詳細漏洞信息的FPR結果文件,用AWB打開查看。

      Fortify SCA 掃描的結果如下

      Fortify SCA 的結果文件為.FPR文件,包括詳細的漏洞信息:漏洞分類,漏洞產生的全路徑,漏洞所在的源代碼行,漏洞的詳細說明及修復建議等。如圖2

      圖1:Fortify SCA 工作原理圖

      圖2:Foritfy AWB 查看結果圖

        Fortify SCA支持的平臺
        Fortify SCA支持的編程語言
        Fortify SCA plug-In 支持的有
        Fortify SCA目前能夠掃描的安全漏洞種類有

        目前Fortify SCA可以掃描出約350種漏洞,Fortify將所有安全漏洞整理分類,根據開發語言分項目,再細分為8個大類,約350個子類,具體信息可登錄Fortify 官方網//www.fortify.com/vulncat/ 進行查詢。

  • WebInspect軟件介紹

    WebInspect是一種自動化動態應用安全測試(DAST)工具,可模擬真實的黑客技術和攻擊,支持全面動態地分析錯綜復雜的Web應用和服務。WebInspect提供了Web應用程序和Web服務漏洞評估解決方案,使安全專業人員和規范審計人員可以在自己的環境中快速而輕松地分析眾多的Web應用和Web服務。

  • 功能特點

  • 動態和運行時分析:測試運行網絡應用和服務的動態行為,識別和優先處理安全漏洞。超越黑盒測試:集成了動態和運行時分析,可更加快速地找到并修復更多漏洞。

  • 簡化了技術:優化測試資源。同步爬網等先進技術支持初級安全測試員執行專業級測試。

  • 合規性管理:管理部門可輕松了解有關漏洞、趨勢、合規性管理和投資回報的信息??汕宄叵蚩⒉棵糯錈扛雎┒吹南晗感畔⒓壩畔人承?。

  • 軟件界面

版權所有2007-2019 - 上海明運信息科技有限公司   滬ICP備10022825號  |  Privacy Policy    Term and Condition