聯系我們
地 址:南京市玄武區洪武北路188號 長發數碼大廈1501室
電 話:025-84810007
025-84811152
025-84811916
傳 真:025-84811916
網 址:www.yzcldq.com
郵 箱:sales@sys-test.com.cn
Fortify SCA簡介
Fortify SCA 是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析,分析的過程中與它特有的軟件安全漏洞規則集進行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,并給予整理報告。掃描的結果中不但包括詳細的安全漏洞的信息,還會有相關的安全知識的說明,以及修復意見的提供。
Foritfy SCA主要包含的五大分析引擎:
數據流引擎:跟蹤,記錄并分析程序中的數據傳遞過程所產生的安全問題。
語義引擎:分析程序中不安全的函數,方法的使用的安全問題。
結構引擎:分析程序上下文環境,結構中的安全問題。
控制流引擎:分析程序特定時間,狀態下執行操作指令的安全問題。
配置引擎:分析項目配置文件中的敏感信息和配置缺失的安全問題。
特有的X-Tier?跟蹤器:跨躍項目的上下層次,貫穿程序來綜合分析問題
Fortify SCA 的工作原理:
Foritfy SCA 首先通過調用語言的編譯器或者解釋器把前端的語言代碼(如JAVA,C/C++源代碼)轉換成一種中間媒體文件NST(Normal Syntax Tree)將其源代碼之間的調用關系,執行環境,上下文等分析清楚。然后再通過上述的五大分析引擎從五個切面來分析這個NST,匹配所有規則庫中的漏洞特征,一旦發現漏洞就抓取出來。最后形成包含詳細漏洞信息的FPR結果文件,用AWB打開查看。
Foritfy AWB 查看結果圖