簡介

Fortify SCA 是一個靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結(jié)構(gòu)、控制流、配置流等對應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進(jìn)行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。掃描的結(jié)果中不但包括詳細(xì)的安全漏洞的信息，還會有相關(guān)的安全知識的說明，以及修復(fù)意見的提供。

功能特點

數(shù)據(jù)流引擎：跟蹤,記錄并分析程序中的數(shù)據(jù)傳遞過程所產(chǎn)生的安全問題。

語義引擎：分析程序中不安全的函數(shù),方法的使用的安全問題。

結(jié)構(gòu)引擎：分析程序上下文環(huán)境,結(jié)構(gòu)中的安全問題。

控制流引擎：分析程序特定時間,狀態(tài)下執(zhí)行操作指令的安全問題。

配置引擎：分析項目配置文件中的敏感信息和配置缺失的安全問題。

特有的X-Tier?跟蹤器：跨躍項目的上下層次,貫穿程序來綜合分析問題

1、Fortify Source Code Analysis Engine（源代碼分析引擎）

采用數(shù)據(jù)流分析引擎，語義分析引擎，結(jié)構(gòu)分析引擎，控制流分析引擎，配置分析引擎和特有的 X-Tier 跟蹤器從不同的方面查看代碼的安全漏洞，更大化降低代碼安全風(fēng)險。

2、Fortify Secure Code rules（軟件安全代碼規(guī)則集）

采用國際公認(rèn)的安全漏洞規(guī)則和眾多軟件安全專家的建議，輔助軟件開發(fā)人員、安全人員和管理人員快速掌握軟件安全知識、識別軟件安全漏洞和修復(fù)軟件安全漏洞。其規(guī)則的分類和定義被眾多國際權(quán)威機(jī)構(gòu)采用，包括美國國土安全（CWE）標(biāo)準(zhǔn)、OWASP，PCI 等。

3、Fortify Audit Workbench （安全審計工作臺）

輔助開發(fā)人員、安全審計人員對 Fortify Source Code Analysis Engines（源代碼分析引擎）掃描結(jié)果進(jìn)行快速分析、查找、定位和區(qū)分軟件安全問題嚴(yán)重級別。

4、Fortify Rules Editor（安全規(guī)則構(gòu)建器）

提供自定義軟件安全代碼規(guī)則功能，滿足特定項目環(huán)境和企業(yè)軟件安全的需要。

5、Fortify SCA plug in （Fortify SCA IDE 集成開發(fā)插件）

Eclipse, Visual Studio, RAD 集成開發(fā)環(huán)境中的插件，便于開發(fā)者在編寫代碼過程中可以直接使用工具掃描代碼，立刻識別代碼安全漏洞，并立即根據(jù)建議修復(fù)，消除安全缺陷在最初的編碼階段，及早發(fā)現(xiàn)安全問題，降低安全問題的查找和修復(fù)的成本。

產(chǎn)品/服務(wù)優(yōu)勢：

1、 輕松應(yīng)對監(jiān)管機(jī)構(gòu)的合規(guī)需求，提高源代碼審計效率，降低應(yīng)用系統(tǒng)安全風(fēng)險。

2、 豐富而全面軟件安全代碼規(guī)范及其文檔資料彌補(bǔ)企業(yè)開發(fā)人員和管理人員應(yīng)用軟件安全知識不足，讓大家盡快了解各種軟件安全漏洞的成因和修復(fù)方法。

3、 使用 Fortify SCA 大大節(jié)約了開發(fā)人員和審計人員在識別軟件漏洞和修復(fù)安全漏洞的時間。

4、 對于軟件外包的項目，能快速識別項目風(fēng)險，防止外包團(tuán)隊成員有意或者無意而遺留在軟件項目中的安全隱患，避免以后軟件上線后造成重大的經(jīng)濟(jì)和其他方面損失。

5、 通過使用 Fortify 的工具可以幫助企業(yè)研發(fā)中心建立規(guī)范的代碼安全審計流程，并使在項目驗收過程中引入軟件安全驗收環(huán)節(jié)變?yōu)榭尚小?/span>

6、通過與公司自助研發(fā)代碼輔助管理平臺結(jié)合實現(xiàn)源代碼缺陷的自動分發(fā)、代碼質(zhì)量的統(tǒng)計度量等技術(shù)指標(biāo)；源代碼掃描的自動持續(xù)集成、自定義規(guī)則庫和結(jié)合代碼質(zhì)量的度量數(shù)據(jù)和開發(fā)人員進(jìn)行績效考核。