fortify sca源碼漏洞掃描工具

fortify sca是一款用于掃描網(wǎng)站源碼安全性的工具，這款軟件可以幫助程序員分析源碼漏洞，一旦檢測(cè)出安全問(wèn)題，安全編碼規(guī)則包會(huì)提供有關(guān)問(wèn)題的信息，讓開(kāi)發(fā)人員能夠計(jì)劃并實(shí)施修復(fù)工作，這樣比研究問(wèn)題的安全細(xì)節(jié)更為有效。

功能介紹：

審計(jì)功能：

1.安全問(wèn)題審計(jì)結(jié)果、審計(jì)類(lèi)別劃分和問(wèn)題旁注功能。

2.安全審計(jì)自動(dòng)導(dǎo)航功能

3.安全漏洞掃描結(jié)果的匯總和問(wèn)題優(yōu)先級(jí)別劃分功能。

4.安全問(wèn)題定位和問(wèn)題傳遞過(guò)程跟蹤功能。

5.安全問(wèn)題查詢(xún)和過(guò)濾功能。

6.安全問(wèn)題描述和推薦修復(fù)建議。

掃描分析功能：

1.獨(dú)特的控制流分析技術(shù)精確地跟蹤業(yè)務(wù)操作的先后順序，發(fā)現(xiàn)因代碼構(gòu)造不合理而帶來(lái)的軟件安全隱患。

2.獨(dú)特的配置流分析技術(shù)分析軟件的配置和代碼的關(guān)系，發(fā)現(xiàn)在軟件配置和代碼之間，配置丟失或者不一致而帶來(lái)的安全隱患

3.獨(dú)特的數(shù)據(jù)流分析技術(shù)，跟蹤被感染的、可疑的輸入數(shù)據(jù)，直到該數(shù)據(jù)被不安全使用的全過(guò)程，并跨越整個(gè)軟件的各個(gè)層次和編程語(yǔ)言的邊界。

4.獨(dú)特的語(yǔ)義分析技術(shù)發(fā)現(xiàn)易于遭受攻擊的語(yǔ)言函數(shù)或者過(guò)程，并理解它們使用的上下文環(huán)境，并標(biāo)識(shí)出使用特定函數(shù)或者過(guò)程帶來(lái)的軟件安全的隱患

5.獨(dú)特的代碼結(jié)構(gòu)分析技術(shù)從代碼的結(jié)構(gòu)方面分析代碼，識(shí)別代碼結(jié)構(gòu)不合理而帶來(lái)的安全弱點(diǎn)和問(wèn)題。

6.自定義安全代碼規(guī)則功能。

功能介紹：

開(kāi)始頁(yè)面概述

開(kāi)始頁(yè)面包含以下幾個(gè)區(qū)域：

Start New Project（啟動(dòng)新項(xiàng)目）：?jiǎn)��?dòng)源代碼掃描向?qū)А?/p>

Custom Rules Editor（自定義規(guī)則編輯器）：?jiǎn)��?dòng)用于創(chuàng)建和檢查安全規(guī)則或編碼實(shí)踐規(guī)則的工具，這些規(guī)則可針對(duì)您的源代碼進(jìn)行自定義。

Open Project（打開(kāi)項(xiàng)目）：?jiǎn)螕裟骋豁?xiàng)目名稱(chēng)可打開(kāi)最近的項(xiàng)目；或使用“Open Project（打開(kāi)項(xiàng)目）”鏈接可定位到某一項(xiàng)目。

fortify\bin\AuditWorkbench.cmd 開(kāi)始頁(yè)面：

4、審計(jì)界面概述

下圖顯示了“Auditing（審計(jì)）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下幾個(gè)面板組成：

“Issues（問(wèn)題）”面板

“Analysis Trace（分析跟蹤）”面板

“Project Summary（項(xiàng)目摘要）”面板

“Source Code Viewer（源代碼查看器）”面板

“Function（函數(shù)）”面板

“Issue Auditing（問(wèn)題審計(jì)）”面板

“Issues（問(wèn)題）”面板

使用 Issues（問(wèn)題）面板，您可以對(duì)希望審計(jì)的問(wèn)題進(jìn)行分組和選擇。該面板由下列元素組成：

“Filter Set（過(guò)濾器組）”下拉列表

“Folders（文件夾）”選項(xiàng)卡

Group by（分組方式）

“Search（搜索）”框

問(wèn)題面板：

“Filter Set（過(guò)濾器組）”下拉列表

過(guò)濾器組控制著“Issue（問(wèn)題）”面板的設(shè)置和顯示屬性。過(guò)濾器組是項(xiàng)目配置的一部分。您可以為每個(gè)項(xiàng)目自定義不同的過(guò)濾器組。每個(gè)項(xiàng)目均可具有唯一的過(guò)濾器組。

“Filter Set（過(guò)濾器組）”部分包含以下設(shè)置：

文件夾的名稱(chēng)和顏色。要進(jìn)行配置，請(qǐng)選擇 Tools（工具）- Project Configuration（項(xiàng)目配置）- Folder Settings（文件夾設(shè)置）。

問(wèn)題列出的位置，以及是否列出。要進(jìn)行配置，請(qǐng)選擇 Options（選項(xiàng)）- Show View（顯示視圖）- Filters（過(guò)濾器）。

注意：“Audit Guide Visibility Filters（審計(jì)指南可見(jiàn)性過(guò)濾器）”配置適用于整個(gè)項(xiàng)目。

Fortify Software 提供了默認(rèn)過(guò)濾器組：Broad（廣泛）、Medium（普通）、Targeted（特定）和 Developer（開(kāi)發(fā)人員）�！癋ilter Sets（過(guò)濾器組）”將問(wèn)題按嚴(yán)重性歸類(lèi)于“Hot（嚴(yán)重）”、“Warning（警告）”和“Info（信息）”文件夾中。 所有過(guò)濾器組都具有相同的文件夾過(guò)濾器。