华克斯信息-华中源代码检测工具fortify

fortify软件

强化静态代码分析器

使软件更快地生产

转移景观

语言支持也得到了扩展，完全支持php，javasc ript，cobol以及所有添加到版本5的asp和basic的classic-non-.net版本。fortify sca以---直支持c＃，vb.net，java和c / c ++，源代码检测工具fortify服务商，coldfusion和存储过程语言，如microsoft tsql和oracle pl / sql。

“从基于com的语言到.net版本的迁移速度并没有像我们以前那样快，”meftah解释说。 “这些com语言的安装基础很大，华中源代码检测工具fortify，我们从我们的安装基础和其他方面得到了很多查询。”

sans institute互联网风暴中心研究员johannes ullrich表示，fortify sca等代码分析工具对于成长型企业开发商店---。

“我认为[代码分析工具]的部署方式不足，我看到很少使用它们，通常只适用于大型企业项目，”ullrich说。 “这是一个---的时间保护，它没有找到所有的漏洞，但它找到标准的东西，它需要很多繁忙的代码---。

fortify sca旨在与现有工具和ide集成，包括microsoft visual studio，eclipse和ibm rapid application developer（rad）。基于java的套件运行在各种操作系统上，包括windows，linux，mac os x和各种各样的unix。

---的基准价格为每位开发人员约1，200美元，另外还需支付维护费用，并订阅更新的代码规则以防止出现的漏洞。

关于作者

迈克尔·德斯蒙德（michael desmond）是1105媒体企业计算组织的编辑兼作家。

fortify sca产品组件及功能

source

code

---ysis

engine（源代码分析引擎）

 数据流分析引擎--------，记录并分析程序中的数据传递过程的安全问题

 语义分析引擎-----分析程序中不安全的函数，源代码检测工具fortify总代理，方法的使用的安全问题

 结构分析引擎-----分析程序上下文环境，结构中的安全问题

 控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

 配置分析引擎

-----分析项目配置文件中的---息和配置缺失的安全问题

 特有的x-tier?---qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

secure

coding

rulepacks

?（安全编码规则包）

audit

workbench（---工作台）

custom

rule

editor

&

custom

rulewizard(规则自定义编辑器和向导)

developerdesktop

(ide

插件）

fortify sca 分析安全漏洞的标准

owasp top 2004/2007/2010/2013/2014(开放式web应用程序安全项目)

2. pci1.1/1.2/2.0/3.0(国际---ka资料安全

技术pci标准)

3. wasc24+2(web应用安全联合威胁分类)

4. nist sp800-53rev.4(美国与技术研究院)

5. fisma(联邦信息安全管理法案)

6. sans top25 2009/2010/2011(it安全与研究组织)

7. cwe(mitre公司安全漏洞词典)