全国服务热线: 13862561363

苏州华克斯公司 源代码扫描工具fortify报告中文插件

发布日期 :2022-09-21 19:10访问:3次发布IP:123.58.44.124编号:10376689
分 类
企业管理软件
单 价
电议
有效期至
长期有效
咨询电话
0512-62382981
手机
13862561363
Email
sinocax@sinocax.com
在线咨询
点击这里给我发消息
让卖家联系我
详细介绍

FortifySCA优点

Secure Coding Rulepacks ?(安全编码规则包)

Audit Workbench(审查工作台)

Custom Rule Editor amp; Custom

Rule Wizard(规则自定义编辑器和向导)

Developer Desktop (IDE 插件)

其主要特点:

1.集中管理

2.化分优先级

3.标记趋势

4.

协同工作平台

5.产生多种报表







Fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。

配置此分析器在应用程序的部署配置文件中搜索错误,弱点和策略违规。

缓冲区此分析仪检测缓冲区溢出漏洞,涉及写入或读取比缓冲区容纳的更多数据。

分享这个

于十二月二十四日十二时十七分


感谢你非常有用的信息。你知道这些分析仪在内部工作吗?如果您提供一些细节,我将非常感谢。 - 新手十二月27"12 at 4:22

1

有一个很好的,但干燥的书的主题:amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 "12 at 16:09

现在还有一个内容分析器,尽管这与配置分析器类似,除非在非配置文件中搜索问题(例如查找HTML,JSP for XPath匹配) - lavamunky 11月28日13日11:38


@LaJmOn有一个非常好的,但在完全不同的抽象层次,我可以用另一种方式回答这个问题:

您的源代码被转换为中间模型,该模型针对SCA的分析进行了优化。

某些类型的代码需要多个阶段的翻译。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全mian地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。例如,需要先将C#文件编译成一个debug.DLL或.EXE文件,然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language(MSIL)。而像其他文件(如Java文件或ASP文件)由相应的Fortify SCA翻译器一次翻译成该语言。

SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入FPR文件,源代码扫描工具fortify服务商,漏洞匹配信息,安全建议,源代码,源交叉引用和代码导航信息,源代码扫描工具fortify报告中文插件,用户过滤规范,任何自定义规则和数字签名都压缩到包中。



FortifySCA与强化SSC之间的差异


Fortify SCA和Fortify SSC有什么区别?这些软件产生的报告是否有差异。我知道Fortify SSC是一个基于网络的应用程序。我可以使用Fortify SCA作为基于Web的应用程序吗?

Fortify SCA以前被称为源代码分析器(在fortify 360中),但现在是静态代码分析器。相同的首字母缩略词,相同的代码,只是名字改变了。

SSC(“软件安全中心”)以前称为Fortify 360 Server。惠普重新命名并进行了其他更改。

SCA是一个命令行程序。FortifySCA报表及测试结果管理功能要求·能够针对客户的个性化需求,勾选报表模板中的内容,并且可以自定义报表模板。您通常使用SCA从静态代码分析角度扫描代码(通过sourceanalyzer或),生成FPR文件,然后使用Audit Workbench打开该文件,或将其上传到SSC,源代码扫描工具fortify总代理,您可以在其中跟踪趋势。

审计工作台与SCA一起安装;它是一个图形应用程序,允许您查看扫描结果,添加审核数据,应用过滤器和运行简单报告。

另一方面,SSC是基于网络的;这是一个可以安装到tomcat或您喜欢的应用程序服务器的java。关于SSC的报告使用不同的技术,华东源代码扫描工具fortify,更适he运行集中度量。Fortify软件强化静态代码分析器使软件更快地生产能见度Fortify软件安全中心是一个集中管理存储库,为您的整个appsec测试程序提供可见性和报告。您可以报告特定扫描的结果,或历史记录(当前扫描与之前的扫描之间发生变化)。如果您想要扫描扫描的差异,趋势,历史等,请在上传FPR一段时间后使用SSC进行报告。

没有SSC,基本报告功能允许您将FPR文件(二进制)转换为xml,pdf或rtf,但只能给出特定扫描的结果,而不是历史记录(当前扫描和任何早期的)。

关闭主题:还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件,可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描,WebInspect Enterprise可以做到这一点。




苏州华克斯公司-源代码扫描工具fortify报告中文插件由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务,公司拥有“Loadrunner,Fortify,Webinspect”等品牌,专注于行业软件等行业。学到更多SAST强化静态代码分析器自动静态代码分析,帮助开发人员消除漏洞并构建安全软件。,在苏州工业园区新平街388号的名声不错。欢迎来电垂询,联系人:华克斯。


相关分类
推荐产品
信息搜索
 
loadrunner产品
苏州华克斯信息科技有限公司
  • 地址:苏州工业园区新平街388号
  • 电话:0512-62382981
  • 手机:13862561363
  • 联系人:华克斯
fortify新闻