華克斯(多圖)-Fortify SCA使用

fortify軟件
強(qiáng)化靜態(tài)代碼分析器
使軟件更快地生產(chǎn)
fortify軟件如何工作？
fortify是用于查找軟件代碼中的安全漏洞的sca。我只是好奇這個(gè)軟件在內(nèi)部工作。我知道你需要配置一組代碼將被運(yùn)行的規(guī)則。但是如何才能在代碼中找到漏洞。
有人有什么想法嗎？
提前致謝。
強(qiáng)化
任何想法如何適用于ios應(yīng)用程序？ fortify是否有任何mac軟件通過我們可以掃描ios代碼objective-c / swift代碼？ -
hp fortify sca有6個(gè)分析器：數(shù)據(jù)流，控制流，語(yǔ)義，結(jié)構(gòu)，配置和緩沖。每個(gè)分析器都會(huì)發(fā)現(xiàn)不同類型的漏洞。
數(shù)據(jù)流量此分析儀檢測(cè)潛在的漏洞，這些漏洞涉及受到潛在危險(xiǎn)使用的污染數(shù)據(jù)（用戶控制輸入）。數(shù)據(jù)流分析器使用全局的，程序間的污染傳播分析來檢測(cè)源（用戶輸入站點(diǎn)）和信宿（危險(xiǎn)函數(shù)調(diào)用或操作）之間的數(shù)據(jù)流。例如，數(shù)據(jù)流分析器檢測(cè)用戶控制的無限長(zhǎng)度的輸入字符串是否被*到靜態(tài)大小的緩沖區(qū)中，并檢測(cè)用戶控制的字符串是否用于構(gòu)造sql查詢文本。
控制流程此分析儀檢測(cè)潛在的危險(xiǎn)操作序列。通過分析程序中的控制流程，控制流程分析器確定一組操作是否以一定順序執(zhí)行。例如，控制流程分析器檢測(cè)使用時(shí)間的檢查/時(shí)間問題和未初始化的變量，并檢查在使用之前是否正確配置了諸如xml讀取器之類的實(shí)用程序。
結(jié)構(gòu)這可以檢測(cè)程序的結(jié)構(gòu)或定義中潛在的危險(xiǎn)缺陷。例如，結(jié)構(gòu)分析器檢測(cè)對(duì)j*a servlet中成員變量的分配，識(shí)別未聲明為static final的記錄器的使用，以及由于總是為false的謂詞將永遠(yuǎn)不會(huì)執(zhí)行的死代碼的實(shí)例。
fortifysca掃描分析功能要求
·
跟蹤可yi的輸入數(shù)據(jù)，直到該數(shù)據(jù)被不安全使用的全過程中，分析數(shù)據(jù)使用中的安全隱患。
·
發(fā)現(xiàn)易于遭受攻擊的語(yǔ)言函數(shù)或者過程，并理解它們使用的上下文環(huán)境，識(shí)別出使用特定函數(shù)或者過程帶來的軟件安全的隱患。
·
jing確地跟蹤業(yè)務(wù)操作的先后順序，發(fā)現(xiàn)因代碼構(gòu)造不合理而帶來的軟件安全隱患。
·
自動(dòng)分析軟件的配置和代碼的關(guān)系，fortify sca代理，發(fā)現(xiàn)在軟件配置和代碼之間，由于配置丟失或者不一致而帶來的安全隱患。
fortifysca可配置的保護(hù)模式
攔截惡意數(shù)據(jù)，回應(yīng)惡意的挑戰(zhàn)，執(zhí)行自訂的動(dòng)作
為生產(chǎn)下的應(yīng)用系統(tǒng)進(jìn)行執(zhí)行期的安全分析
接近零影響運(yùn)作效能
提供廣泛而充分的安全事件報(bào)告
實(shí)時(shí)監(jiān)測(cè)各種攻擊和各種跟安全有關(guān)的行為
call site? 監(jiān)測(cè)50種 api及偵cha12類黑de行為
為安全事件進(jìn)行時(shí)間性關(guān)聯(lián)分析
滿足監(jiān)管機(jī)構(gòu)規(guī)定的要求
pci， hippa， owasp top ten
華克斯(多圖)-fortify sca使用由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是從事“l(fā)oadrunner,fortify,源代碼審計(jì),源代碼掃描”的企業(yè)，公司秉承“誠(chéng)信經(jīng)營(yíng)，用心服務(wù)”的理念，為您提供更好的產(chǎn)品和服務(wù)。歡迎來電咨詢！聯(lián)系人：華克斯。