fortify source code ---ysis suite是目前在使用为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。该软件多次荣获的软件安全大奖,包括inforword, jolt,sc magazine….目前众多的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率,监视和管理软件安全的风险.
fortify sca源代码安全漏洞的审计功能:
1.安全漏洞扫描结果的汇总和问题优先级别划分功能。
2.安全审计自动导航功能
3.安全问题定位和问题传递过程---功能。
4.安全问题查询和过滤功能。
5.安全问题审计结果、审计类别划分和问题旁注功能。
6.安全问题描述和修复建议。
fortify sca产品特性:
1.从多方面分析软件源代码,查找软件安全漏洞,是目前采用分析技术的,检查代码安全问题,其检查方式分别为:数据流、控制流、语义、配置流和代码结构
2.是目前能跨越软件不同层次和不同语言边界的静态分析技术,能安全漏洞引入的过程。
3.安全代码规则面,安全漏洞检查。目前包括150多种类别的安全漏洞,源代码审计工具fortify规则库,其安全代码规则多达50000多条。规则内容涉及asp.net, c/c++, c#, coldfusion,java, jsp, pl/sql, t-sql, xml,vb.net&other .net等多种语言
4.支持多种国际软件安全的标准:owasp、payment card industry (pci) compliance、federal informati0n security management act(fisma)common weakness enumeration(cwe)….。
5. 支持混合语言的分析,包括 asp.net,华东fortify规则库, c/c++, c#, java?, jsp, pl/sql,t-sql,源代码检测工具fortify规则库, vb.net, xml&other .net languages. fortify sca 支持 windows, solaris,源代码扫描工具fortify规则库, linux, aix,and mac os ….等多种操作系统
6. 支持自定义软件安全代码规则。
7.集成软件开发环境(microsoft visual studio, ibm rad,&eclipse.)和自动产品构建过程。
8. 基于web接口,能对企业多个项目进行集中的安全统计、分析和管理
fortify编写自定义规则原理
要编写有效的自定义规则,就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数,有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言,都有其庞大的开源框架和lib库。所以自定义规则,既要精通安全漏洞原理,又要熟练掌握一门或几门开发语言,一般自定义规则用的比较多的语言有java、c/c++、php等。其次必须识别与安全相关的函数,并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系,使用自定义规则编辑器来创建规则就相对简单了。
华东fortify规则库-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“loadrunner,fortify,源代码审计,源代码扫描”等业务,公司拥有“loadrunner,fortify,webinspect”等品牌,---于行业软件等行业。,在苏州工业园区新平街388号的名声---。欢迎来电垂询,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/284891184.html
关键词:
滇公网安备 53011202000392号