代码安全测试软件
Fortify
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中包括安全漏洞的信息,相关的安全知识的说明,以及修复意见的提供。
市场地位
Fortify SCA拥有市场份额和较高的用户口碑,多次荣获著名的软件安全大奖,包括Jolt、CODiE、InforWord、SC Magazine等等。从产品诞生起一直在IT研究咨询机构Gartner研究报告中位于较高地位。
2019年针对全球应用安全测试产品市场的Gartner研究报告魔力象限图如左图
Fortify SCA的工作原理
Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行,环境,上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST,匹配规则库中的漏洞特征,一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。
静态代码分析器
Fortify SCA -发现和分析漏洞SCA的分析引擎和已获得专利的X-Tier™数据流分析器对问题进行广泛检测。SCA的分析引擎以大而全面的安全编码规则为基础,该规则中的漏洞类别达到600种,并且 Fortify的技术安全专家们还在不断的更新这些规则。支持23种开发语言C,C++、COBOL、Java、Swift、PL/SQL、PHP、Python、VBScript、XML/HTML、Ruby。业界率先支持手机移动应用开发语言的测试。支持大部分主流操作系统如Windows, Linux, Unix, HP-Unix, AIX, Mac OS和 Sun Solaris等。
产品架构及设计原则
Fortify SCA主要包含的五大分析引擎:
数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题;
语义引擎:分析程序中不安全的函数,方法的使用的安全问题;
结构引擎:分析程序上下文环境,结构中的安全问题;
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题;
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题;
特有的X-Tier™跟踪器:跨跃项目的上下层次,贯穿程序来综合分析问题。
沪公网安备 31010402009815号
