Fortify安全测试软件
软件产品组成如下:
Fortify Source Code Analysis Engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier跟踪器从不同的方面查看代码的安全漏洞,最大化降低代码安全风险。
Fortify Secure Code rules:Fortify(软件安全代码规则集)
采用国际公认的安全漏洞规则和众多软件安全专家的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际权威机构采用,包括美国国土安全(CWE)标准、OWASP,PCI。。。等。
Fortify Audit Workbench (安全审计工作台)
辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。
Fortify Rules Builder(安全规则构建器)
提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。
Fortify Source Code Analysis Suite plug in (Fortify SCA IDE集成开发插件)
Eclipse, WSAD, Visual Studio 集成开发环境中的插件,便于开发者在编写代码过程中可以直接使用工具扫描代码,立刻识别代码安全漏洞,并立即根据建议修复,消除安全缺陷在最初的编码阶段,及早发现安全问题,降低安全问题的查找和修复的成本。
产品功能:
源代码安全漏洞的扫描分析功能:
1.独特的数据流分析技术,跟踪被感染的、可疑的输入数据,直到该数据被不安全使用的全过程,并跨越整个软件的各个层次和编程语言的边界。
2.独特的语义分析技术发现易于遭受攻击的语言函数或者过程,并理解它们使用的上下文环境,并标识出使用特定函数或者过程带来的软件安全的隐患
3.独特的控制流分析技术精确地跟踪业务操作的先后顺序,发现因代码构造不合理而带来的软件安全隐患。
4.独特的配置流分析技术分析软件的配置和代码的关系,发现在软件配置和代码之间,配置丢失或者不一致而带来的安全隐患
5.独特的代码结构分析技术从代码的结构方面分析代码,识别代码结构不合理而带来的安全弱点和问题。
6.自定义安全代码规则功能。
源代码安全漏洞的审计功能:
1.安全漏洞扫描结果的汇总和问题优先级别划分功能。
2.安全审计自动导航功能
3.安全问题定位和问题传递过程跟踪功能。
4.安全问题查询和过滤功能。
5.安全问题审计结果、审计类别划分和问题旁注功能。
6.安全问题描述和推荐修复建议。
产品特性:
1.从多方面分析软件源代码,查找软件安全漏洞,是目前采用分析技术最多的,最能全面检查代码安全问题,其检查方式分别为:数据流、控制流、语义、配置流和代码结构
2.是目前唯一的能跨越软件不同层次和不同语言边界的静态分析技术,能跟踪软件安全漏洞引入的过程。
3.安全代码规则最全面,安全漏洞检查最彻底。目前包括150多种类别的安全漏洞,其安全代码规则多达50000多条。规则内容涉及ASP.NET, C/C++, C#, ColdFusion,Java, JSP, PL/SQL, T-SQL, XML,VB.NET and other .NET等多种语言
4.支持多种国际软件安全的标准:OWASP、Payment Card Industry (PCI) Compliance、Federal Information Security Management Act(FISMA)Common Weakness Enumeration(CWE)….。
5. 支持混合语言的分析,包括 ASP.NET, C/C++, C#, Java?, JSP, PL/SQL,T-SQL, VB.NET, XML and other .NET languages. Fortify SCA 支持 Windows?, Solaris?, Linux?, AIX? and Mac OS? X….等多种操作系统
6. 支持自定义软件安全代码规则。
7.集成软件开发环境(Microsoft Visual Studio, IBM RAD, and Eclipse.)和自动产品构建过程。
8. 基于Web接口,能对企业多个项目进行集中的安全统计、分析和管理
本文来自于艾威培训
转载请注明:https://www.avtechcn.cn/share/itpxwiki/666.html