源代码扫描工具fortify采购-华克斯(商家)

fortify软件

强化静态代码分析器

使软件更快地生产

如何修正hp fortify sca报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如hp fortify sca，被许多企业用来提高安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多来说，hp fortify sca的报告被视为麻烦制造者，因为它们虽然---了弱点（不论是真的或是---），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

lucent sky avm和静态程序码扫描工具一样会---弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站---（xss），sql注入和路径处理这些常见的弱点。

以.net（c＃和vb.net）和java应用程式来说，lucent sky avm可以修正达90％所找到的弱点。

一起使用hp fortify sca和lucent sky avm

hp fortify sca只会告诉你弱点在哪里，而lucent sky avm会---它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）hp fortify sca是被设计来供资安人士使用，因此设计理念是找出大量的结果，再依赖安全来移除其中的---.lucent sky avm则是---于找出会真正影响应用程式安全的弱点，并依照你或你的开发与安全团队的设定来---的修正这些弱点。你可以深入了解lucent sky amv的修正流程。

fortify软件

强化静态代码分析器

使软件更快地生产

转移景观

语言支持也得到了扩展，完全支持php，源代码扫描工具fortify，javasc ript，cobol以及所有添加到版本5的asp和basic的classic-non-.net版本。fortify sca以---直支持c＃，vb.net，java和c / c ++，coldfusion和存储过程语言，如microsoft tsql和oracle pl / sql。

“从基于com的语言到.net版本的迁移速度并没有像我们以前那样快，”meftah解释说。 “这些com语言的安装基础很大，我们从我们的安装基础和其他方面得到了很多查询。”

sans institute互联网风暴中心研究员johannes ullrich表示，fortify sca等代码分析工具对于成长型企业开发商店---。

“我认为[代码分析工具]的部署方式不足，我看到很少使用它们，通常只适用于大型企业项目，”ullrich说。 “这是一个---的时间保护，源代码扫描工具fortify版本，它没有找到所有的漏洞，但它找到标准的东西，它需要很多繁忙的代码---。

fortify sca旨在与现有工具和ide集成，包括microsoft visual studio，eclipse和ibm rapid application developer（rad）。基于java的套件运行在各种操作系统上，包括windows，linux，mac os x和各种各样的unix。

---的基准价格为每位开发人员约1，200美元，另外还需支付维护费用，并订阅更新的代码规则以防止出现的漏洞。

关于作者

迈克尔·德斯蒙德（michael desmond）是1105媒体企业计算组织的编辑兼作家。