fortify sca源碼漏洞掃描工具

fortify sca是一款用于掃描網(wǎng)站源碼安全性的工具，這款軟件可以幫助程序員分析源碼漏洞，一旦檢測出安全問題，安全編碼規(guī)則包會提供有關(guān)問題的信息，讓開發(fā)人員能夠計劃并實施修復(fù)工作，這樣比研究問題的安全細(xì)節(jié)更為有效。

功能介紹：

審計功能：

1.安全問題審計結(jié)果、審計類別劃分和問題旁注功能。

2.安全審計自動導(dǎo)航功能

3.安全漏洞掃描結(jié)果的匯總和問題優(yōu)先級別劃分功能。

4.安全問題定位和問題傳遞過程跟蹤功能。

5.安全問題查詢和過濾功能。

6.安全問題描述和推薦修復(fù)建議。

掃描分析功能：

1.獨特的控制流分析技術(shù)精確地跟蹤業(yè)務(wù)操作的先后順序，發(fā)現(xiàn)因代碼構(gòu)造不合理而帶來的軟件安全隱患。

2.獨特的配置流分析技術(shù)分析軟件的配置和代碼的關(guān)系，發(fā)現(xiàn)在軟件配置和代碼之間，配置丟失或者不一致而帶來的安全隱患

3.獨特的數(shù)據(jù)流分析技術(shù)，跟蹤被感染的、可疑的輸入數(shù)據(jù)，直到該數(shù)據(jù)被不安全使用的全過程，并跨越整個軟件的各個層次和編程語言的邊界。

4.獨特的語義分析技術(shù)發(fā)現(xiàn)易于遭受攻擊的語言函數(shù)或者過程，并理解它們使用的上下文環(huán)境，并標(biāo)識出使用特定函數(shù)或者過程帶來的軟件安全的隱患

5.獨特的代碼結(jié)構(gòu)分析技術(shù)從代碼的結(jié)構(gòu)方面分析代碼，識別代碼結(jié)構(gòu)不合理而帶來的安全弱點和問題。

6.自定義安全代碼規(guī)則功能。

功能介紹：

開始頁面概述

開始頁面包含以下幾個區(qū)域：

Start New Project（啟動新項目）：啟動源代碼掃描向?qū)А?/p>

Custom Rules Editor（自定義規(guī)則編輯器）：啟動用于創(chuàng)建和檢查安全規(guī)則或編碼實踐規(guī)則的工具，這些規(guī)則可針對您的源代碼進行自定義。

Open Project（打開項目）：單擊某一項目名稱可打開最近的項目；或使用“Open Project（打開項目）”鏈接可定位到某一項目。

fortify\bin\AuditWorkbench.cmd 開始頁面：

4、審計界面概述

下圖顯示了“Auditing（審計）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下幾個面板組成：

“Issues（問題）”面板

“Analysis Trace（分析跟蹤）”面板

“Project Summary（項目摘要）”面板

“Source Code Viewer（源代碼查看器）”面板

“Function（函數(shù)）”面板

“Issue Auditing（問題審計）”面板

“Issues（問題）”面板

使用 Issues（問題）面板，您可以對希望審計的問題進行分組和選擇。該面板由下列元素組成：

“Filter Set（過濾器組）”下拉列表

“Folders（文件夾）”選項卡

Group by（分組方式）

“Search（搜索）”框

問題面板：

“Filter Set（過濾器組）”下拉列表

過濾器組控制著“Issue（問題）”面板的設(shè)置和顯示屬性。過濾器組是項目配置的一部分。您可以為每個項目自定義不同的過濾器組。每個項目均可具有唯一的過濾器組。

“Filter Set（過濾器組）”部分包含以下設(shè)置：

文件夾的名稱和顏色。要進行配置，請選擇 Tools（工具）- Project Configuration（項目配置）- Folder Settings（文件夾設(shè)置）。

問題列出的位置，以及是否列出。要進行配置，請選擇 Options（選項）- Show View（顯示視圖）- Filters（過濾器）。

注意：“Audit Guide Visibility Filters（審計指南可見性過濾器）”配置適用于整個項目。

Fortify Software 提供了默認(rèn)過濾器組：Broad（廣泛）、Medium（普通）、Targeted（特定）和 Developer（開發(fā)人員）�！癋ilter Sets（過濾器組）”將問題按嚴(yán)重性歸類于“Hot（嚴(yán)重）”、“Warning（警告）”和“Info（信息）”文件夾中。 所有過濾器組都具有相同的文件夾過濾器。