源代码审计工具fortify版本-苏州华克斯公司

fortify软件

强化静态代码分析器

使软件更快地生产

如何修正hp fortify sca报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如hp fortify sca，被许多企业用来提高安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多来说，hp fortify sca的报告被视为麻烦制造者，因为它们虽然---了弱点（不论是真的或是---），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

lucent sky avm和静态程序码扫描工具一样会---弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站---（xss），源代码检测工具fortify版本，sql注入和路径处理这些常见的弱点。

以.net（c＃和vb.net）和java应用程式来说，lucent sky avm可以修正达90％所找到的弱点。

一起使用hp fortify sca和lucent sky avm

hp fortify sca只会告诉你弱点在哪里，西南fortify版本，而lucent sky avm会---它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）hp fortify sca是被设计来供资安人士使用，因此设计理念是找出大量的结果，再依赖安全来移除其中的---.lucent sky avm则是---于找出会真正影响应用程式安全的弱点，并依照你或你的开发与安全团队的设定来---的修正这些弱点。你可以深入了解lucent sky amv的修正流程。

fortifysca庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

        c，

c++， .net， java， jsp，pl/sql， t-sql， xml，

cfml

        javasc ript， php， asp， vb，源代码检测工具fortify版本， vbsc ript

精que地定位漏洞的产生的全路径

支持不同的软件开发平台

      platform:

windows， solaris， red hat linux，

                   mac os x， hp-ux， ibm

aix

      ides       :

visual studio， eclipse， rad，源代码审计工具fortify版本， wsad

source code ---ysis engine（源代码分析引擎）

            数据流分析引擎--------，记录并分析程序中的数据传递过程的安全问题                    

           语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

           结构分析引擎-----分析程序上下文环境，结构中的安全问题                        

           控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

           配置分析引擎 -----分析项目配置文件中的---息和配置缺失的安全问题                    

           特有的x-tier?---qi-----跨跃项目的上下层次，贯穿程序来综合分析问题