Fortify 審計

Fortify掃描后生成的fpr文件，就是我們審計的目標(biāo)。Fortify會將源碼信息和識別到的風(fēng)險記錄下來。

使用Fortify Audit Workbench打開文件后；左上角的小窗口會列出所有識別出來的潛在風(fēng)險，雙擊即可查看對應(yīng)位置代碼。這里是一個在日志中打印IMEI的風(fēng)險項，源代碼審計工具fortify哪里有賣，左下角可以看到整個數(shù)據(jù)鏈路，了解數(shù)據(jù)的傳遞路徑。視圖中上位置是代碼窗口，可以看到已經(jīng)將危險代碼標(biāo)識出來。如果代碼窗口中的中文顯示亂碼，往往是因為Fortify默認(rèn)的解析字節(jié)碼是GBK，可以在選中代碼文件后，點擊Edit->Set Encoding...選項，設(shè)置正確的編碼方式即可。中下位置則是對于規(guī)則的介紹，協(xié)助安全工程師確定問題，識別風(fēng)險。右側(cè)的則是所有依賴的代碼的路徑。

在我們審計過程中，如果發(fā)現(xiàn)問題是誤報，可以右鍵風(fēng)險項，選擇Hide in AWB，即可隱藏誤報問題。

然后是生成報告，我們可以選擇生成兩種報告：

BIRT是統(tǒng)計報告，可以按照不同標(biāo)準(zhǔn)顯示各種類型風(fēng)險的統(tǒng)計信息。也可以選擇一些我們認(rèn)定是誤報的項，是否顯示。

Legacy表示信息的留存，該報告會將各風(fēng)險項的信息依次打印出來，可以提供給業(yè)務(wù)確認(rèn)風(fēng)險。

Fortify SCA 是 Fortify SSC 解決方案的一部分，通過獲獎的靜態(tài)分析，對源代碼進(jìn)行漏洞檢測。包括識別安全漏洞的根本原因，將原因按嚴(yán)重程度排序，源代碼檢測工具fortify哪里有賣，并就漏洞修復(fù)提供詳細(xì)的代碼行指導(dǎo)。

Fortify SCA 能幫助企業(yè)確保他們的軟件是的，減少發(fā)現(xiàn)和修復(fù)應(yīng)用程序漏洞的成本，并為安全編碼建立基礎(chǔ)。

Fortify SCA基本功能

1、能對軟件源代碼進(jìn)行的檢測和分析，源代碼審計工具fortify哪里有賣，準(zhǔn)確的發(fā)現(xiàn)源代碼中存在的安全漏洞和質(zhì)量問題，華北fortify哪里有賣，并提供問題的有效解決建議。幫助開發(fā)人員快速的完成漏洞修復(fù)及提高應(yīng)用的安全性。

2、軟件能從多維度分析源代碼，包括但不限于：

數(shù)據(jù)流引擎：跟蹤， 記錄并分析程序中的數(shù)據(jù)傳遞過程所產(chǎn)生的安全問題。

語義引擎：分析程序中不安全的函數(shù)， 方法的使用的安全問題。

結(jié)構(gòu)引擎：分析程序上下文環(huán)境， 結(jié)構(gòu)中的安全問題。

控制流引擎：分析程序特定時間， 狀態(tài)下執(zhí)行操作指令的安全問題。

配置引擎：分析項目配置文件中的敏感信息和配置缺失的安全問題

源代碼檢測工具fortify哪里有賣-華克斯信息由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是江蘇 蘇州 ,行業(yè)軟件的見證者，多年來，公司貫徹執(zhí)行科學(xué)管理、創(chuàng)新發(fā)展、誠實守信的方針，滿足客戶需求。在華克斯領(lǐng)導(dǎo)攜全體員工熱情歡迎各界人士垂詢洽談，共創(chuàng)華克斯更加美好的未來。