Fortify软件
强化静态代码分析器
使软件更快地生产
阅读强力手册
安全开发
开发人员编写代码时,尽可能早地确保修复。 DevInspect和静态代码分析器(在Premise)和Fortify on Demand将持续的安全测试和反馈直接传递给开发人员桌面。
安全测试
使静态和动态应用程序安全测试的自动化成为工作流程的一个自然部分。 软件安全中心和Fortify on Demand从一个界面提供企业级安全管理功能。
持续监控和保护
生产应用造成da的威胁。 持续监控应用程序风险的变化,执行深度安全扫描,并与Fortify on Demand and Application Defender实时保护应用程序。
HI-RES-290926_1.jpg
HPE Security Fortify仍然是应用程序安全测试的。
了解Gartner所说的话
Fortify SCA 简介
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。z配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。 它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找,从而将源代码中存在
的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的 提供。
1.Fortify
SCA 扫描引擎介绍:
Foritfy SCA
主要包含的五大分析引擎:
z 数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生
的安全问题。
z 语义引擎:分析程序中不安全的函数,源代码检测工具fortify规则,方法的使用的安全问题。
z 结构引擎:分析程序上下文环境,结构中的安全问题。
z 控制流引擎:分析程序特定时间,状态下执行操作指令的安全 问题。
z 配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全
问题。
z 特有的 X-Tier?跟zong器:跨跃项目的上下层次,贯穿程序来综合 分析问题
Fortify软件
强化静态代码分析器
使软件更快地生产
HP Fortify静态代码分析器
注意:HP-UX,IBM?AIX?,Oracle?Solaris?和Free BSD不支持审核工作台和安全编码插件。
注意:Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全编码包。
国际平台与架构
HP Fortify SCA在以下平台上安装时支持双字节和国际字符集:
操作系统版本架构
Linux RedHat?ES 5,
Novell SUSE 10
Fedora Core 7 x86:32位
Windows?2003 SP1
2008年
Vista业务
Vista Ultimate x86:32位
Oracle Solaris 10 x86
对于非英语平台,不支持以下内容:
操作系统:Windows 2000,HP-UX,IBM AIX,Macintosh OS X,Oracle Solaris SPARC和所有64位架构
应用服务器:Jrun,jBoss,BEA Weblogic 10
数据库:DB2
注意:本版本中不包含本地化文档。
语言
HP Fortify SCA支持以下编程语言:
语言版本
ASP.NET,VB.NET,C#(.NET)1.1,2.0,3.0,3.5
C / C 请参见“编译器”
经典ASP(带VBscript)2/3
COBOL IBM Enterprise Cobol for z / OS 3.4.1与IMS,DB2,CICS,MQ
CFML 5,7,8
HTML 2
Java 1.3,1.4,1.5,1.6
的Javascript / AJAX 1.7
JSP JSP 1.2 / 2.1
PHP 5
PL / SQL 8.1.6
Python 2.6中
T-SQL SQL Server 2005
Visual Basic 6
VBscript 2.0 / 5.0
Actionscript / MXML 3和4
XML 1.0
ABAP / 4
构建工具版本
Ant 1.5.x,1.6.x,1.7.x
Maven 2.0.9或更高版本
编译器
HP Fortify SCA支持以下编译器:
编译器操作系统
GNU gcc 2.9 - 4 AIX,Linux,HP-UX,Mac OS,源代码审计工具fortify规则,Solaris,Windows
GNU g 3 - 4 AIX,Linux,HP-UX,Mac OS,Solaris,Windows
IBM javac 1.3 - 1.6 AIX
英特尔icc 8.0 Linux
Microsoft cl 12.x - 13.x Windows
Microsoft csc 7.1 - 8.x Windows
Oracle cc 5.5 Solaris
Oracle javac 1.3 - 1.6 Linux,HP-UX,Mac OS,Solaris,Windows
综合开发环境
适用于Eclipse的HP Fortify软件安全中心插件和用于Visual Studio的HP Fortify Software Security Center软件包在以下平台上受支持:
操作系统IDE
Linux Eclipse 3.2,3.3,3.4,3.5,3.6
RAD 7,7.5
RSA 7,7.5
JBuilder 2008 R2
JDeveloper 10.1.3,11.1.1
Windows Eclipse 3.2,3.3,3.4,3.5
Visual Studio 2003,2005,2008,华东fortify规则,2010
RAD 6,7,7.5
RSA 7,7.5
JBuilder 2008 R2
JDeveloper 10.1.3,11.1.1
Mac OSX Eclipse 3.2,3.3,源代码扫描工具fortify规则,3.4,3.5,3.6
JBuilder 2008 R2
JDeveloper 10.1.3,11.1.1
注意:HP Fortify Software Security Center不支持在64位JRE上运行的Eclipse 3.4 。但是,HP Fortify软件安全中心确实支持在64位平台上在32位JRE上运行的32位Eclipse。
第三方整合
HP Fortify Audit Workbench和Secure Code Plug-ins(SCP)支持以下服务集成:
服务应用版本支持的工具
Bug创建Bugzilla 3.0审核工作台,
Visual Studio SCP,
Eclipse SCP
惠普质量中心9.2,10.0审核工作台,
Eclipse SCP的
Microsoft Team Foundation Server 2005,2008,2010 Visual Studio SCP
注意:HP Quality Center集成要求您在Windows平台上安装用于Eclipse的Audit Workbench和/或Secure Code Plug-in。
注意:HP Quality Center集成需要您安装HPQC客户端加载项软件。
注意:Team Foundation Server集成需要您安装Visual Studio Team Explorer软件。
苏州华克斯-华东fortify规则由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。fortifySCA审计功能要求·对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的合理划分。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。