Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

能見度

Fortify軟件安全中心是一個集中管理存儲庫，為您的整個appsec測試程序提供可見性和報告。儀表板突出了您的應(yīng)用程序的風(fēng)險，并有助于審查，管理和跟蹤您的安全測試活動，優(yōu)行修復(fù)工作并控制您的軟件組合。

“Fortify在上市之前幫助我們找到并修復(fù)了Vital Images醫(yī)liao影像軟件的安全漏洞。它直接負責改進我們軟件的安全狀態(tài)?！?/p>

- Tim Dawson，

Vital Image軟件工程總監(jiān)

“Fortify通過分析我們的軟件安全架構(gòu)和應(yīng)用程序代碼，幫助我們建立安全的開發(fā)實踐。我們將繼續(xù)使用Fortify軟件在其整個生命周期內(nèi)測試我們所有的軟件，以確保其始終保持安全。

- 盧克·波隆，銀行應(yīng)用項目經(jīng)理，

Parkeon

“在整個業(yè)務(wù)中的執(zhí)行支持和購買對我們的成功至關(guān)重要。發(fā)展與安全共同努力，確保我們?yōu)榭蛻糇稣_的事情，我們的業(yè)務(wù)是關(guān)鍵。在開發(fā)過程中發(fā)現(xiàn)漏洞，并教育開發(fā)人員在交付工作時思考“安全”，正在改變我們的工作和交付方式。這次旅程是與安全合作關(guān)系的巨大團隊勝利，文化轉(zhuǎn)變?yōu)殪`活的思維方式，為未來創(chuàng)造更好，可持續(xù)的過程?！?/p>

- CISO的Jennifer Cole，

ServiceMaster

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

強化SCA

我開始使用自定義擴展名＃4，源代碼檢測工具fortify sca，并希望自動化Fortify掃描。這是我第yi次真的不確定這應(yīng)該是什么樣的擴展。它是一個源代碼控制分析器，所以感覺它應(yīng)該是一個報告動作，如FxCop或NCover，但本機輸出格式“FPR”是一個二進制的blob，源代碼審計工具fortify價格表，顯然不適合任何ReportType枚舉選項?？梢詫⑵漭敵鰹榭刹渴?，但在概念上聽起來錯誤。在某些情況下，我們可以直接將報告發(fā)送到中央服務(wù)器，因此如果您考慮將步驟部署到Fortify服務(wù)器，那么只需將其簡單地隨機部署就不完全不準確。

其他并發(fā)zheng在于，強化SCA有時可能非常緩慢，我?guī)缀蹩梢詫⑵渥鳛橥茝V要求，如果我們可以找到一個很好的方式進行后臺安排，但是我沒有看到任何長時間運行的背景的例子任務(wù)在GitHub上的擴展。

這聽起來像一個報告行動的好候選人，但使用ZippedHtml選項。雖然該報表輸出二進制文件，您可以使用該文件的超鏈接將一個html文件寫入磁盤，并將其用作索引。兩者都將包含在zip文件中，并存在于報表中。如果FPR文件很大，hao將其保存在磁盤上，否則它不會保存在數(shù)據(jù)庫中。

還有一些額外的內(nèi)置報告操作不在GitHub上;您可以通過反射器或其他東西找到或填寫源代碼申請表。

當然沒有背景行動，fortify，但有一個選擇可能是...

觀看促銷已完成事件的觸發(fā)器

在后臺運行報告使用BuildOutputs_AddOutput操作將報告添加到Build

添加促銷要求以驗證報告已完成

希望有所幫助。我會很好奇看到你想出了什么。

Fortify SCA產(chǎn)品組件及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

數(shù)據(jù)流分析引擎-----跟蹤，記錄并分析程序中的數(shù)據(jù)傳遞過程的安全問題

語義分析引擎-----分析程序中不安全的函數(shù)，方法的使用的安全問題

結(jié)構(gòu)分析引擎-----分析程序上下文環(huán)境，源代碼審計工具fortify總代理，結(jié)構(gòu)中的安全問題

控制流分析引擎-----分析程序特定時間，狀態(tài)下執(zhí)行操作指令的安全問題

配置分析引擎

-----分析項目配置文件中的敏感信息和配置缺失的安全問題

特有的X-Tier?跟蹤qi-----跨躍項目的上下層次，貫穿程序來綜合分析問題

Secure

Coding

Rulepacks

?（安全編碼規(guī)則包）

Audit

Workbench（審查工作臺）

Custom

Rule

Editor

&

Custom

RuleWizard(規(guī)則自定義編輯器和向?qū)?

DeveloperDesktop

(IDE

插件）

Fortify?SCA 分析安全漏洞的標準

OWASP top 2004/2007/2010/2013/2014(開放式Web應(yīng)用程序安全項目)

2. PCI1.1/1.2/2.0/3.0(國際信用ka資料安全

技術(shù)PCI標準)

3. WASC24+2(Web應(yīng)用安全聯(lián)合威脅分類)

4. NIST SP800-53Rev.4(美國與技術(shù)研究院)

5. FISMA(聯(lián)邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全漏洞詞典)