Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

Fortify SCA 5.0提供從未在應用程序安全性中提供的功能，涵蓋企業(yè)需要加速安全開發(fā)的三個關鍵領域：

- 定制 - 絕大多數(shù)今天的企業(yè)都有自定義的

應用程序，安全過程和反映他們的編碼風格

競爭力。任何成功的應用安全實現(xiàn)

必須適應各企業(yè)發(fā)展需要的性。

Fortify SCA 5.0使企業(yè)能夠為其創(chuàng)建自定義規(guī)則

他們的任務關鍵應用程序，以及給安全人員

和其他非開發(fā)團隊成員有能力創(chuàng)建規(guī)則

分鐘，而不是幾天，而不需要先前的編碼

經(jīng)驗。

- 協(xié)作 - 安全審核員的擴展團隊，合規(guī)性

，發(fā)展主管和管理軟件

發(fā)展跨度時區(qū)和組織圖。強化SCA 5.0

使開發(fā)人員和審計人員能夠在代碼審查，安全性方面進行協(xié)作

錯誤分類和審核作為一個復雜的開發(fā)項目的團隊。

- 全mian

- Fortify幫助企業(yè)部署全mian的

保護過去，源代碼審計工具fortify規(guī)則庫，現(xiàn)在和未來應用的安全策略。如

不斷變化的黑ke帶來了新的漏洞類

景觀和新技術，如Web 2.0。并且繼續(xù)使用漏洞

要發(fā)展，安全和發(fā)展團隊必須采取一切可能的步驟

確保他們的軟件。通過PHP和JavaScript支持，F(xiàn)ortify SCA

5.0幫助開發(fā)團隊面向未來的應用程序。為了遺產(chǎn)

應用程序，F(xiàn)ortify SCA 5.0將支持COBOL和Classic ASP

保護舊的任務關鍵型應用程序 - 特別是它們

由SOA部署暴露。

“選擇應用程序安全測試技術時，企業(yè)應該將這些產(chǎn)品集成到流xing的開發(fā)和測試工作室（如Eclipse或Visual Studio）中，分析編程語言的數(shù)量以及測試能力的速度和規(guī)模，”Joseph說費曼，Gartner副總裁兼Gartner研究員。

“存托信托結(jié)算公司通過其子公司為股piao，公司和市政，貨幣市場工具，和擔bao證券以及非處fang衍生工具提供，結(jié)算和信息服務，我們是共同基jin和保險交易的領xian處理商，將基jin和運營商與其分銷網(wǎng)絡聯(lián)系起來，安全性對我們的業(yè)務至關重要，“DTCC信息安全官員Jim Routh說。 “像許多企業(yè)一樣，我們的軟件基礎設施是傳統(tǒng)應用程序和新應用程序的結(jié)合，因此我們需要一種解決方案，可以處理我們環(huán)境中的技術多樣性，并將其輕松集成到我們的開發(fā)環(huán)境中。這樣有效“。

Fortify公司的Barmak Meftah補充說：“Fortify一直是廣泛覆蓋語言，平臺和IDE（集成開發(fā)環(huán)境）的，隨著這一發(fā)布，我們將領導層擴展到四種新語言并支持RSA IDE。產(chǎn)品與服務副總裁。 “Fortify SCA 5.0為我們的客戶提供了更深層次的控制，分析和協(xié)作，以保護他們免受許多流xing和快速發(fā)展的Web 2.0編程語言和技術（包括JavaScript和PHP）中的威脅。

Fortify軟件

強化靜態(tài)代碼分析器

Fortify靜態(tài)代碼分析器在軟件開發(fā)生命周期早期識別源代碼中的安全漏洞，上海fortify規(guī)則庫，并提供jia實踐，使開發(fā)人員可以更安全地編碼。

通過建立更好的軟件降低安全風險

Security Fortify靜態(tài)代碼分析器（SCA）由開發(fā)組和安全人員用于分析應用程序的源代碼以獲取安全問題。 SCA識別軟件安全漏洞的根本原因，并通過代碼修復指導提供準確的，風險排名的結(jié)果，使您的團隊能夠輕松解決嚴重問題。

– ?HPE Fortify SCA

分析的流程

運用三步走的方法來執(zhí)行源代碼安全風險評估：

u ?確定源代碼安全風險評估的審查目標

u ?使用Fortify執(zhí)行初步掃描并分析安全問題結(jié)果

u ?審查應用程序的架構(gòu)所特有的代碼安全問題

在第yi步中，我們使用威脅建模（如果可用）的結(jié)果以及對用于構(gòu)建該應用的架構(gòu)和技術的理解，其目標就是尋求一系列的安全漏洞的風險表現(xiàn)形式。在初步檢查過程中，我們將結(jié)合靜態(tài)分析和輕量級的人工審查來確定代碼中關鍵點-很可能包含了更多漏洞的地方，初始掃描使我們能夠優(yōu)先考慮風險gao的區(qū)域。

在審查主要代碼過程中，我們的源代碼安全分析人員對代碼進行審查來尋找常見安全問題，源代碼檢測工具fortify規(guī)則庫，比如大家熟悉的緩沖區(qū)溢出、跨站點腳本，SQL注入等。終審查用于調(diào)查本應用程序架構(gòu)所特有的問題，一般表現(xiàn)為威脅建?；虬踩卣髦谐霈F(xiàn)的威脅，如自定義身份驗證或授權(quán)程序等。