华中fortify扫描-苏州华克斯信息

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

常见的静态程序码扫描工具（又称原始码检测，白箱扫描），例如HP Fortify SCA，被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多来说，源代码检测工具fortify扫描，HP Fortify SCA的报告被视为麻烦制造者，因为它们虽然指出了弱点（不论是真的或是误报），但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

Lucent Sky AVM和静态程序码扫描工具一样会指出弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站脚本（XSS），SQL注入和路径处理这些常见的弱点。

以.NET（C＃和）和Java应用程式来说，源代码审计工具fortify扫描，Lucent Sky AVM可以修正达90％所找到的弱点。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只会告诉你弱点在哪里，而Lucent Sky AVM会指出它们的位置以及修正方式（并且实际为你修正他们，你喜欢的话）HP Fortify SCA是被设计来供资安人士使用，因此设计理念是找出大量的结果，再依赖资讯安全来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点，并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。你可以深入了解Lucent Sky AMV的修正流程。

Fortify软件

强化静态代码分析器

Fortify静态代码分析器在软件开发生命周期早期识别源代码中的安全漏洞，并提供jia实践，使开发人员可以更安全地编码。

通过建立更好的软件降低安全风险

Security Fortify静态代码分析器（SCA）由开发组和安全人员用于分析应用程序的源代码以获取安全问题。 SCA识别软件安全漏洞的根本原因，并通过代码修复指导提供准确的，风险排名的结果，使您的团队能够轻松解决严重问题。

Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

 数据流分析引擎-----跟踪，源代码扫描工具fortify扫描，记录并分析程序中的数据传递过程的安全问题

 语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

 结构分析引擎-----分析程序上下文环境，华中fortify扫描，结构中的安全问题

 控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

 配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

 特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

Secure

Coding

Rulepacks

?（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

Custom

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)