fortify_2

Fortify Source Code Analysis (SCA)

软件原代码安全测试和分析工具

        

   Fortify® SCA是全球已经被证实和广泛使用的原代码安全分析方案,它高级的特性使得软件安全的专业人员在尽量少的时间里评审更多的代码和更早区分出安全问题的优先级别,同时它也帮助开发团队在项目的早期花尽量少的成本识别和修复安全问题。Fortify SCA支持多种不同的语言、架构和操作系统,并交付给使用者极深度和精确度都极高的分析结果。它也可以在开发过程中去调整以满足特定项目目标的需要,从而使得安全人员在区分安全问题的优先级、不同范围的审计和补救方面更快和更有效.

                                                                            

已经被证实最广泛使用的原代码安全分析器

 

全球的许多组织都在采用Fortify SCA原代码分析方案去提高他们确保组织内部众多应用软件安全的能力,从而降低他们在识别、管理和修复软件安全缺陷的成本。Fortify SCA也多次荣获全球的应用软件安全分析的大奖,包括Software Magazine’s Jolt Award for Excellence  InfoWorld’s 2006 Technology of the Year Award ,并同时被评为全球最好的安全分析产品。



业界最彻底的代码分析工具



Fortify SCA是发现软件安全漏洞隐患最全面和分析最完整的产品。

它使用特有的成熟的五大软件安全分析引擎、最全面最广泛的软件安全代码规则集和fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。



低false positives



Fortify SCA提供精确的分析结果,她成熟的分析技术和精确的安全代码规则一起递交给客户以不同级别和不同类别的安全问题。安全的代码规则能被自动更新,以安全专家的经验和意见去分析您的原代码,并且可以依照你特有应用、组件或者web service的特性去调整。



支持多种语言、平台和环境



支持SOA架构,多层次的应用, Web 接口, XP极限编程,传统的瀑布开发, 新的和老的开发语言。每一个开发环境和开发的方式都是唯一的,Fortify SCA能支持多种不同的语言、架构和操作系统。也能很好的与企业里的不同的开发团队和开发方法相结合。



可调整分析结果满足不同的分析需求



成Fortify SCA能够根据不同的目标,在软件开发的生命周期中的各个阶段调整分析能力和优化分析结果。对于软件安全的领导,Fortify SCA能给他全面的分析结果,以致所有的安全问题不会被漏掉,开发人员查看高风险的结果以便他们能关注在删除高优先级的安全缺陷。甚至你也可以定制分析器去检查特定问题。

 

快速而又高效辅助修复安全问题。



Fortify SCA以按照问题的严重级别和问题的影响深度的方式呈现分析结果的,它提供详细的数据流的跟踪图,定位安全问题于具体的文件和代码行,并建议以不同的方式去修复代码的问题。多种filtering, 查询和排序选项将辅助安全人员去调查和理解安全问题和当时的环境。审计人员和开发人员也可以评注有关问题的审计状态,风险和更进一步的努力需要。

      

       集成Fortify Manager



      可以通过集成Fortify Manager获得有价值的有关项目安全的宝贵信息。比如分析结果的报表、安全策略的通过情况、安全评分的高低,安全问题的审计和状态。



集成自动化安全渗透测试工具



Fortify SCA的分析结果能够和自动化的黑盒渗透测试工具结果相关联,以便于更进一步区分那些已经在自动化测试过程中暴露的问题的严重级别和更好的修复方法。
Fortify SCA的特点

Fortify SCA带来好处及描述


全面而精确的源代码分析引擎

Fortify专门的分析器使用fortify公司唯一的、强有力的源代码分析技术发现各种不同的软件安全实现的漏洞和隐患。




数据流分析器(Data Flow Analyzer): 使用Fortify公司的专利技术- X-Tier 数据流分析技术跟踪被感染的、可疑的输入点,并跨越整个应用软件的各个层次和编程语言的边界。




语义分析器(Semantic Analyzer): 发现易于遭受攻击的语言涵数或者过程,并理解它们使用的上下文环境,并标识出使用特定涵数或者过程带来的软件安全的隐患。




控制流分析器(Control Flow Analyzer): 精确地跟踪业务操作的先后顺序,发现因代码构造不合理而带来的软件安全隐患。




配置流分析器(Configuration Analyzer):分析软件的配置和代码的关系,发现在软件配置和代码之间,配置丢失或者不一致而带来的安全隐患。




结构分析器(Structural Analyzer): 从代码的结构方面分析代码,识别代码结构不合理而带来的安全弱点和问题。


最大的最全面的安全代码规则集

成千上万的安全代码规则包含了118种类别软件安全方面的问题。这些类别帮助安全分析人员更快识别软件安全问题。并且fortify公司的安全专家在不断延伸和自动更新这些安全代码规范。


全面支持主流的编程语言和操作系统

Fortify SCA 支持混合语言的分析,包括 ASP.NET, C/C++, C#, Java™, JSP, PL/SQL, T-SQL, VB.NET, XML and other .NET languages. Fortify SCA 支持 Windows®, Solaris™, Linux®, AIX™ and Mac OS® X….等多种操作系统。


集成软件开发环境,提供安全代码开发的插件

Fortify SCA对主流的集成开发环境(IDE)提供安全代码的插件,比如Microsoft® Visual Studio®, IBM® RAD, and Eclipse.,安全代码插件使的开发人员在开发代码的时候就可以加强软件代码的安全检查,不用脱离实际的开发环境,使的软件安全隐患检查越早越便宜。


易于集成产品构建环境

Fortify SCA提供与集成开发环境以插件的方式集成,也同时提供命令行接口,可以使用多种编译和自动构建工具,比如:Ant, make…..等。从而使得Fortify SCA与开发环境集成简单化。


规则构建器(Rules Builder)延伸规则和自定义规则 

Fortify SCA Rules Builder能够加强和延伸Fortify分析器的能力,可以使用Rules Builder去定制特定的规则满足特别需求。


多种特性审计平台 (Audit Workbench)

丰富的特性使得对安全问题的筛选、走查和审计更快更高效,多种排序、过漏和组织的特性使得更容易关注到重要的问题上去。安全问题的详细描述有助于审计人员更好的了解问题的细节和选择最优的补救方法。


集成Fortify security manager

可以通过集成Fortify Manager获得有价值的有关项目安全的宝贵信息。比如分析结果的报表、安全策略的通过情况、安全评分的高低,安全问题的审计和状态。


集成黑盒安全测试工具包括Watchfire’s AppScan

加强黑盒渗透测试的有效性,以便更进一步区分安全问题的优先级别,从而辅助更快更好修复问题。


集成 Findbugs 便于集中管理和分析质量问题和安全问题

节约在审计质量和安全问题方面的时间





Fortify SCA应用在产品测试阶段带来的价值:

  1. QA人员可以从SCA扫描分析报告中看出当前产品的安全特性是否通过安全策略和产品的安全需求,确保不安全的Application不会release到最终的生产环境中去。从而带来不必要的损失。

  2. SCA提供的大量有关软件安全的分析和测试的数据和报告,为QA人员和测试组在分析安全漏洞的原因,跟踪和定位安全问题根源提供依据,并为安全审计决策提供重要的参考价值。

  3. 为Application Penetration Testing提供代码级的细节,加速对Application Penetration Testing所发现的安全问题进行修复。

你可能感兴趣的:(fortify_2)