Fortify Source Code Analysis Engine（源代碼分析引擎）

采用數(shù)據(jù)流分析引擎，源代碼檢測工具fortify sca，語義分析引擎，結(jié)構(gòu)分析引擎，控制流分析引擎，配置分析引擎和特有的X-Tier從不同的方面查看代碼的安全漏洞，化降低代碼安全風險。

Fortify Secure Code rules：Fortify（軟件安全代碼規(guī)則集）

采用國際公認的安全漏洞規(guī)則和眾多軟件安全的建議，輔助軟件開發(fā)人員、安全人員和管理人員快速掌握軟件安全知識、識別軟件安全漏洞和修復(fù)軟件安全漏洞。其規(guī)則的分類和定義被眾多國際機構(gòu)采用，華南fortify sca，包括美國國土安全（CWE）標準、OWASP，源代碼審計工具fortify sca，PCI。。。等。

Fortify Audit Workbench （安全審計工作臺）

輔助開發(fā)人員、安全審計人員對Fortify Source Code Analysis Engines（源代碼分析引擎）掃描結(jié)果進行快速分析、查找、定位和區(qū)分軟件安全問題嚴重級別。

Fortify Rules Builder（安全規(guī)則構(gòu)建器）

提供自定義軟件安全代碼規(guī)則功能，滿足特定項目環(huán)境和企業(yè)軟件安全的需要。

Fortify Source Code Analysis Suite plug in （Fortify SCA IDE集成開發(fā)插件）

Fortify分析結(jié)果

1、導(dǎo)航并查看分析結(jié)果

在您打開一個用來查看 Fortify Source Code Analyzer (Fortify SCA) 所檢測到的問題的 Audit Workbench 項目之后，源代碼掃描工具fortify sca，您可以在 Summary（摘要）面板中審計這些問題，以反映這些問題的嚴重級別，以及對該問題執(zhí)行的安全分析狀態(tài)。

系統(tǒng)會按審計結(jié)果的嚴重性以及準確性，對審計結(jié)果進行分組，并在默認情況下將問題識別為位于“Issues（問題）”面板中的 Hot（嚴重）列表內(nèi)。單擊 Warning（警告）和 Info（信息），查看分組在這些列表中的問題。

每個列表中的問題數(shù)量顯示在相關(guān)按鈕下面。

要檢驗與 Issues（問題）面板中所列問題相關(guān)的代碼，選中該問題。源代碼部分包含顯示在源代碼查看器面板中的問題，并在面板的標題中顯示文件所包含問題的名稱。

2、審計結(jié)果分析

本練習(xí)將會引導(dǎo)您瀏覽一下在練習(xí) 3 中使用 Fortify SCA 分析小程序產(chǎn)生的結(jié)果。請您檢查 Fortify SCA 中各種不同分析器所發(fā)現(xiàn)的問題，并比較 Fortify SCA 生成的各種不同輸出格式。

請考慮 UserServ.java 的內(nèi)容：

Fortify審計界面概述

下圖顯示了“Auditing（審計）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下幾個面板組成：

“Issues（問題）”面板

“Analysis Trace（分析跟蹤）”面板

“Project Summary（項目摘要）”面板

“Source Code Viewer（源代碼查看器）”面板

“Function（函數(shù)）”面板

“Issue Auditing（問題審計）”面板

“Issues（問題）”面板

使用 Issues（問題）面板，您可以對希望審計的問題進行分組和選擇。該面板由下列元素組成：

“Filter Set（過濾器組）”下拉列表

“Folders（文件夾）”選項卡

Group by（分組方式）

“Search（搜索）”框

華南fortify sca-蘇州華克斯由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司擁有很好的服務(wù)與產(chǎn)品，不斷地受到新老用戶及業(yè)內(nèi)人士的肯定和信任。我們公司是商盟認證會員，點擊頁面的商盟客服圖標，可以直接與我們客服人員對話，愿我們今后的合作愉快！