HP Fortify SCA安全检测工具初知

产品简介


  SCA是Fortify SSC (Software Security Center) 的分析器之一。SCA使用于开发阶段,可分析应用程式的程式码是否存有安全漏洞。


  通过程式码安全分析器找出应用程式可能会执行的所有路径,SCA从程式码中指出安全漏洞。它可以在有效的时间内分析大量的程式码,并可以让开发人员花费更少的时间与精力来了解和解决问题,让修复问题变得容易!


alt


  产品特色


  拥有业界最完整的程式码分析器


  Fortify SCA的核心分析技术和专利的X-TierTM资料流程分析器(专利编号 # 7207065)是现在市场上无其他厂商可比拟,此技术可针对程式原始码进行广泛的检测。X-TierTM资料流程分析器可跨阶层、跨档案、跨程式语言与跨程式架构的分析整个程式的相关流程,结合SCA其成熟的分析引擎技术和精确的安全程式检测规则 ( Rulepack ) ,故其分析结果准确性高且误报率与漏报率极低。


  可检测502种以上的问题类别


  可检测安全与品质的问题类别,包含:未针对可能的例外进行处理 (Poor Error Handling) 、程式码含有未使用到的程式码(Unused Method) 、易造成记忆体泄漏的问题如 : 资源未释放 (Unreleased resource) 等的品质问题;以及Cross-siteScripting ( XSS ) 及SQL Injection等的安全问题。


  严重等级分类,加速修补效率


  Fortify SCA会将找出的安全问题对系统的危害作严重等级分类,可加速相关人员审查安全问题,加速开发人员修补时程。结束,并会产生一份安全检视报告。


  安全规则定期更新机制


  定期提供更新安全规则,由Fortify Software的安全专家和研发团队持续的更新,以保持最新的原始码弱点分析基础。并且提供客制化安全规则功能,以精灵化的方式轻松订定。


  提供全面资讯的分析结果


  SCA将分析结果,透过Audit WorkBench使用者介面提供安全弱点相关资讯包含问题追踪流程、Call Graph协助问题分析及确认,并将审查结果记录及分派。提供安全问题说明及修复建议,依实际开发之程式码作为安全问题说明,以提高可读性,加速使用者问题了解及修复。


alt


  多元化的报表


  SCA拥有多元化的报表范本,提供丰富的资讯。报表内容包括相关的分析统计数据、完整问题解释与修复建议、分析追踪流程与程式码片段,更容易阅读与分析。并且可很容易新增客制化的报表范本。


alt


  Fortify静态应用程式安全检测业界第一


  现今企业在其网路架构、伺服器方面的资安防护措施多半已臻成熟,然而骇客攻击的目标已经由网路层逐渐转向企业所撰写的应用程式。近几年市场出现了数个新兴的应用程式安全检测技术,其中静态应用程式安全检测 (Static Application Security Testing, 以下简称SAST ) 便是检测应用程式安全的主流之一。


  权威机构Gartner组织针对业界知名的静态应用程式安全检测工具研究报告指出,Fortify 产品不论在工具完整度的愿景(Completeness of Vision) 以及工具的执行力 (Ability to Execute) 皆大幅领先同业,为世界领导品牌。







原文出自【比特网】http://info.chinabyte.com/451/12700951.shtml

你可能感兴趣的:(软件测试)