Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

Fortify SCA 5.0提供從未在應(yīng)用程序安全性中提供的功能，涵蓋企業(yè)需要加速安全開發(fā)的三個關(guān)鍵領(lǐng)域：

- 定制 - 絕大多數(shù)今天的企業(yè)都有自定義的

應(yīng)用程序，安全過程和反映他們的編碼風(fēng)格

競爭力。任何成功的應(yīng)用安全實現(xiàn)

必須適應(yīng)各企業(yè)發(fā)展需要的性。

Fortify SCA 5.0使企業(yè)能夠為其創(chuàng)建自定義規(guī)則

他們的任務(wù)關(guān)鍵應(yīng)用程序，以及給安全人員

和其他非開發(fā)團隊成員有能力創(chuàng)建規(guī)則

分鐘，而不是幾天，而不需要先前的編碼

經(jīng)驗。

- 協(xié)作 - 安全審核員的擴展團隊，合規(guī)性

，發(fā)展主管和管理軟件

發(fā)展跨度時區(qū)和組織圖。強化SCA 5.0

使開發(fā)人員和審計人員能夠在代碼審查，安全性方面進行協(xié)作

錯誤分類和審核作為一個復(fù)雜的開發(fā)項目的團隊。

- 全mian

- Fortify幫助企業(yè)部署全mian的

保護過去，源代碼審計工具fortify規(guī)則庫，現(xiàn)在和未來應(yīng)用的安全策略。如

不斷變化的黑ke帶來了新的漏洞類

景觀和新技術(shù)，如Web 2.0。并且繼續(xù)使用漏洞

要發(fā)展，安全和發(fā)展團隊必須采取一切可能的步驟

確保他們的軟件。通過PHP和JavaScript支持，F(xiàn)ortify SCA

5.0幫助開發(fā)團隊面向未來的應(yīng)用程序。為了遺產(chǎn)

應(yīng)用程序，F(xiàn)ortify SCA 5.0將支持COBOL和Classic ASP

保護舊的任務(wù)關(guān)鍵型應(yīng)用程序 - 特別是它們

由SOA部署暴露。

“選擇應(yīng)用程序安全測試技術(shù)時，企業(yè)應(yīng)該將這些產(chǎn)品集成到流xing的開發(fā)和測試工作室（如Eclipse或Visual Studio）中，分析編程語言的數(shù)量以及測試能力的速度和規(guī)模，”Joseph說費曼，Gartner副總裁兼Gartner研究員。

“存托信托結(jié)算公司通過其子公司為股piao，公司和市政，貨幣市場工具，和擔(dān)bao證券以及非處fang衍生工具提供，結(jié)算和信息服務(wù)，我們是共同基jin和保險交易的領(lǐng)xian處理商，將基jin和運營商與其分銷網(wǎng)絡(luò)聯(lián)系起來，安全性對我們的業(yè)務(wù)至關(guān)重要，“DTCC信息安全官員Jim Routh說。 “像許多企業(yè)一樣，我們的軟件基礎(chǔ)設(shè)施是傳統(tǒng)應(yīng)用程序和新應(yīng)用程序的結(jié)合，因此我們需要一種解決方案，可以處理我們環(huán)境中的技術(shù)多樣性，并將其輕松集成到我們的開發(fā)環(huán)境中。這樣有效“。

Fortify公司的Barmak Meftah補充說：“Fortify一直是廣泛覆蓋語言，平臺和IDE（集成開發(fā)環(huán)境）的，隨著這一發(fā)布，我們將領(lǐng)導(dǎo)層擴展到四種新語言并支持RSA IDE。產(chǎn)品與服務(wù)副總裁。 “Fortify SCA 5.0為我們的客戶提供了更深層次的控制，分析和協(xié)作，以保護他們免受許多流xing和快速發(fā)展的Web 2.0編程語言和技術(shù)（包括JavaScript和PHP）中的威脅。

Fortify軟件

強化靜態(tài)代碼分析器

Fortify靜態(tài)代碼分析器在軟件開發(fā)生命周期早期識別源代碼中的安全漏洞，上海fortify規(guī)則庫，并提供jia實踐，使開發(fā)人員可以更安全地編碼。

通過建立更好的軟件降低安全風(fēng)險

Security Fortify靜態(tài)代碼分析器（SCA）由開發(fā)組和安全人員用于分析應(yīng)用程序的源代碼以獲取安全問題。 SCA識別軟件安全漏洞的根本原因，并通過代碼修復(fù)指導(dǎo)提供準確的，風(fēng)險排名的結(jié)果，使您的團隊能夠輕松解決嚴重問題。

– ?HPE Fortify SCA

分析的流程

運用三步走的方法來執(zhí)行源代碼安全風(fēng)險評估：

u ?確定源代碼安全風(fēng)險評估的審查目標(biāo)

u ?使用Fortify執(zhí)行初步掃描并分析安全問題結(jié)果

u ?審查應(yīng)用程序的架構(gòu)所特有的代碼安全問題

在第yi步中，我們使用威脅建模（如果可用）的結(jié)果以及對用于構(gòu)建該應(yīng)用的架構(gòu)和技術(shù)的理解，其目標(biāo)就是尋求一系列的安全漏洞的風(fēng)險表現(xiàn)形式。在初步檢查過程中，我們將結(jié)合靜態(tài)分析和輕量級的人工審查來確定代碼中關(guān)鍵點-很可能包含了更多漏洞的地方，初始掃描使我們能夠優(yōu)先考慮風(fēng)險gao的區(qū)域。

在審查主要代碼過程中，我們的源代碼安全分析人員對代碼進行審查來尋找常見安全問題，源代碼檢測工具fortify規(guī)則庫，比如大家熟悉的緩沖區(qū)溢出、跨站點腳本，SQL注入等。終審查用于調(diào)查本應(yīng)用程序架構(gòu)所特有的問題，一般表現(xiàn)為威脅建?；虬踩卣髦谐霈F(xiàn)的威脅，如自定義身份驗證或授權(quán)程序等。