Fortify SCA簡介

    Fortify SCA 是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析，分析的過程中與它特有的軟件安全漏洞規則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。掃描的結果中不但包括詳細的安全漏洞的信息，還會有相關的安全知識的說明，以及修復意見的提供。

Foritfy SCA主要包含的五大分析引擎：

    數據流引擎：跟蹤,記錄并分析程序中的數據傳遞過程所產生的安全問題。

    語義引擎：分析程序中不安全的函數,方法的使用的安全問題。

     結構引擎：分析程序上下文環境,結構中的安全問題。

    控制流引擎：分析程序特定時間,狀態下執行操作指令的安全問題。

    配置引擎：分析項目配置文件中的敏感信息和配置缺失的安全問題。

    特有的X-Tier?跟蹤器：跨躍項目的上下層次,貫穿程序來綜合分析問題

Fortify SCA 的工作原理：

    Foritfy SCA 首先通過調用語言的編譯器或者解釋器把前端的語言代碼（如JAVA，C/C++源代碼）轉換成一種中間媒體文件NST（Normal Syntax Tree）將其源代碼之間的調用關系，執行環境，上下文等分析清楚。然后再通過上述的五大分析引擎從五個切面來分析這個NST，匹配所有規則庫中的漏洞特征，一旦發現漏洞就抓取出來。最后形成包含詳細漏洞信息的FPR結果文件，用AWB打開查看。

Foritfy AWB 查看結果圖