Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

Fortify軟件如何工作？

Fortify是用于查找軟件代碼中的安全漏洞的SCA。我只是好奇這個(gè)軟件在內(nèi)部工作。我知道你需要配置一組代碼將被運(yùn)行的規(guī)則。但是如何才能在代碼中找到漏洞。

有人有什么想法嗎？

提前致謝。

強(qiáng)化

任何想法如何適用于iOS應(yīng)用程序？ Fortify是否有任何Mac軟件通過我們可以掃描iOS代碼Objective-C / Swift代碼？ -

HP Fortify SCA有6個(gè)分析器：數(shù)據(jù)流，控制流，語義，結(jié)構(gòu)，配置和緩沖。每個(gè)分析器都會(huì)發(fā)現(xiàn)不同類型的漏洞。

數(shù)據(jù)流量此分析儀檢測(cè)潛在的漏洞，這些漏洞涉及受到潛在危險(xiǎn)使用的污染數(shù)據(jù)（用戶控制輸入）。數(shù)據(jù)流分析器使用全局的，程序間的污染傳播分析來檢測(cè)源（用戶輸入站點(diǎn)）和信宿（危險(xiǎn)函數(shù)調(diào)用或操作）之間的數(shù)據(jù)流。例如，數(shù)據(jù)流分析器檢測(cè)用戶控制的長(zhǎng)度的輸入字符串是否被到靜態(tài)大小的緩沖區(qū)中，并檢測(cè)用戶控制的字符串是否用于構(gòu)造SQL查詢文本。

控制流程此分析儀檢測(cè)潛在的危險(xiǎn)操作序列。通過分析程序中的控制流程，源代碼掃描工具fortify采購(gòu)，控制流程分析器確定一組操作是否以一定順序執(zhí)行。例如，控制流程分析器檢測(cè)使用時(shí)間的檢查/時(shí)間問題和未初始化的變量，并檢查在使用之前是否正確配置了諸如XML讀取器之類的實(shí)用程序。

結(jié)構(gòu)這可以檢測(cè)程序的結(jié)構(gòu)或定義中潛在的危險(xiǎn)缺陷。例如，結(jié)構(gòu)分析器檢測(cè)對(duì)Java servlet中成員變量的分配，識(shí)別未聲明為static final的記錄器的使用，以及由于總是為false的謂詞將永遠(yuǎn)不會(huì)執(zhí)行的死代碼的實(shí)例。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核工作臺(tái)和安全編碼插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全編碼包。

國(guó)際平臺(tái)與架構(gòu)

HP Fortify SCA在以下平臺(tái)上安裝時(shí)支持雙字節(jié)和國(guó)際字符集：

操作系統(tǒng)版本架構(gòu)

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業(yè)務(wù)

Vista Ultimate x86：32位

Oracle Solaris 10 x86

對(duì)于非英語平臺(tái)，不支持以下內(nèi)容：

操作系統(tǒng)：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架構(gòu)

應(yīng)用服務(wù)器：Jrun，jBoss，BEA Weblogic 10

數(shù)據(jù)庫(kù)：DB2

注意：本版本中不包含本地化文檔。

語言

HP Fortify SCA支持以下編程語言：

語言版本

，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++請(qǐng)參見“編譯器”

經(jīng)典ASP（帶VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，源代碼檢測(cè)工具fortify采購(gòu)，DB2，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

Acti***cript / MXML 3和4

XML 1.0

ABAP / 4

構(gòu)建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或更高版本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統(tǒng)

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發(fā)環(huán)境

適用于Eclipse的HP Fortify軟件安全中心插件和用于Visual Studio的HP Fortify Software Security Center軟件包在以下平臺(tái)上受支持：

操作系統(tǒng)IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，源代碼審計(jì)工具fortify采購(gòu)，3.3，3.4，3.5，華南fortify采購(gòu)，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上運(yùn)行的Eclipse 3.4+。但是，HP Fortify軟件安全中心確實(shí)支持在64位平臺(tái)上在32位JRE上運(yùn)行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服務(wù)集成：

服務(wù)應(yīng)用版本支持的工具

Bug創(chuàng)建Bugzilla 3.0審核工作臺(tái)，

Visual Studio SCP，

Eclipse SCP

惠普質(zhì)量中心9.2，10.0審核工作臺(tái)，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平臺(tái)上安裝用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安裝HPQC客戶端加載項(xiàng)軟件。

注意：Team Foundation Server集成需要您安裝Visual Studio Team Explorer軟件。

FortifySCA介紹

支持對(duì)測(cè)試結(jié)果進(jìn)行分類或劃分，并分發(fā)給不同的人進(jìn)行確認(rèn)和修復(fù)。

·

對(duì)工具和安全代碼規(guī)則可以進(jìn)行集中配置和管理，使分散在不同地點(diǎn)的測(cè)試機(jī)統(tǒng)一更新，提高了效率，保證了版本的一致性。

·

支持將測(cè)試結(jié)果在企業(yè)內(nèi)部進(jìn)行發(fā)布，使開發(fā)人員，測(cè)試人員，安全人員和管理人員可以通過WEB瀏覽器進(jìn)行查看和審計(jì)。實(shí)現(xiàn)多個(gè)部門之間的協(xié)同工作，加強(qiáng)對(duì)問題的快速反應(yīng)，提高管理能力，提高工作效率。

·

能夠按用戶和角色的不同來進(jìn)行權(quán)限的劃分，方便企業(yè)內(nèi)各個(gè)團(tuán)隊(duì)的交流和溝通，同時(shí)保證了測(cè)試結(jié)果的保密性。