Fortify SCA-软件安全性能测试

扫描代码缺陷Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。

应用程序带来风险和安全漏洞

软件开发人员的日常工作

• 开发新的特性和功能

• 不断增加的复杂性

• 各种繁杂事务

• 截止时间

• 不断缩水的预算

• 产品延期

这些词会引起软件开发人员的强烈共鸣,因为这些正是他们在创建关键业务应用程序时所面对的需求。如今,开发应用程序涉及无数的要求,开发人员整

天忙于应对这些要求,以致于无法优先考虑安全问题。而与此同时,威胁却在不断演变,攻击者越来越擅长利用薄弱的环节 – 应用程序。Security Fortify 提供包括静态代码分析在内的一整套技术,帮助保护企业的业务运营所依赖的应用程序,让其避开目前这种最大的安全风险。

Security Fortify 静态代码分析器

Security Fortify 静态代码分析器 (SCA)是一款静态应用程序安全测试 (SAST) 产品,可供开发团队和安全专家用于分析应用程序源代码,以发现安全漏洞。该产品会审核代码,帮助开发人员用更少的精力在更短时间内发现并解决问题。

Security Fortify SCA 使开发人员能够:

• 在早期阶段频繁地扫描源代码

• 在代码行中精确地找到漏洞的根本原因

• 对结果进行关联并确定其优先级

• 快速修复安全漏洞

• 查看最佳实践,帮助他们以更安全的方式编写代码

为何Security Fortify SCA适合您

适合您的开发环境

Security Fortify SCA 支持各种开发环境、语言、平台和框架,能够在混合开发和生产环境中进行安全审核。

• 23 种编程语言

• 超过 836,000 个组件级 API

• 检测超过 696 种独特的漏洞类别

• 支持所有主流平台、构建环境和IDE

市场上精确度最高的产品之一

Security Fortify SCA 提供精确结果并检测极其广泛的问题,令其他静态测试技术望尘莫及。SCA 确定漏洞的优先级以提供详细而精确的行动计划,同时列出按风险高低排序的分类问题。该产品还遵循由Security Fortify 软件安全专家不断扩展和自动更新的最大且最完整的安全编码规则集。

易于使用

Security Fortify SCA 适合您的现有开发环境。它是一款灵活的命令行静态代码分析器,可通过脚本、插件和 GUI工具集成到任何环境,因此开发人员可以快速、轻松地上手和运行。

可扩展到任何应用程序

应用程序的来源多种多样,包括内部、外包、第三方、开源、移动和采购,因此测试和维护所有这些应用程序类型的安全完整性是一种挑战。借助对业界大部分编程语言的支持,SCA 可以发现所有类型应用程序中的风险,并随着企业需求的增长纵向扩展。

内部或按需

Security Fortify SCA 以多种交付模式提供,以满足不断变化的需求。

• 内部 – Security Fortify SCA,用于在现场部署、管理和运行静态应用程序安全测试程序。

• 按需 – Security Fortify on Demand,一项应用程序安全测试托管服务,以轻松而精确的方式来启动静态、动态和移动安全测试,无需前期投资,可作为企业安全团队的一种扩展。

Fortify 对软件安全漏洞的分类

漏洞类别

就软件安全而言,对于严重漏洞的定义并没有一致的标准。有许多企业发布了自己对头号漏洞的解释,造成了这个概念的理解差异和混乱。为了帮助开

发人员了解导致形成安全漏洞的常见编码错误类型,Fortify 编写了 The SevenPernicious Kingdoms(编码七大害),在其中统一了漏洞的组织分类,并将它们对应到 OWASP、SANS、CWE 和 FISMA等标准。


什么是静态代码分析?

静态代码分析可高效发现源代码中的安全漏洞。静态代码分析应在开发周期的早期阶段进行,同时在整个应用程序生命周期不断进行。这种分析可立即向开发人员反馈开发时在代码中引入的问题。

统计信息

• 80 % 以上的安全漏洞出现在应用程序层

• 严重的 Web 安全漏洞影响几乎一半的 Web 应用程序

• 52% 的 Web 应用程序遇到过输入验证、跨站点脚本和 SQL 注入的问题

• 33% 的应用程序从未进行过安全漏洞测试。


支持的语言

• ABAP/BSP

• ActionScript/MXML (Flex)

• ASP.NET、VB.NET、C# (.NET)

• C/C++

• Classic ASP(带 VBScript)

• COBOL

• ColdFusion CFML

• HTML

• Java(包括 Android)

• JavaScript/AJAX

• JSP

• Objective-C

• PHP

• PL/SQL

• Python

• T-SQL

• Ruby

• Swift

• Visual Basic

• VBScript

• XML


支持的 IDE

• Eclipse

• IntelliJ Ultimate

• IntelliJ Community Android Studio

• IBM Rational Application Developer (RAD)

• IBM Rational Software Architect (RSA)

• Microsoft® Visual Studio


支持的构建工具

• Ant

• Jenkins

• Maven

• MSBuild

• Xcodebuild


本网站由阿里云提供云计算及安全服务 Powered by CloudDream