Fortify SCA报告模板汇总

“Fortify是什么？”

Fortify Software 是世界上第一个提出软件安全新理念的公司，并于2004年推出业界第一款产品。

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。

      Fortify Software的产品主要为软件源代码扫描器，软件应用监控， 渗透测试覆盖率检测，支持21种主流语言，500多个应用安全漏洞等。公司拥有150多项专利，居行业之首。目前全球已有600家客户，其中银行，保险，证券占一半以上。全球8大银行如汇丰，花旗，WellsFargo， Morgan已全部采用Fortify Software的解决方案。其他领域的客户为电子商务类的eBay, Google, 软件厂商Oracle，Microsoft 和EMC等以及政府部门。

企业的软件安全现状和需求点

目前国内大多数企业的应用软件开发主要采取软件外包和自主研发相结合的模式，应用软件自身的安全问题，也是一个几乎全新的领域，但是用户已经意识到这是他们下一阶段为确保信息安全必须要做的一个非常重要的事情，此类企业通常有如下的特点。

     1、外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。许多已经被OWASP、ISO17799、PCI等信息安全组织标识为严重软件安全漏洞的问题了解不足，或者了解深度不够，从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分，因此在他们的应用系统中存在着许多诸如SQL-injection, Cross-site-Script 的软件安全漏洞。

      2、没有完善的应用软件安全的审计策略和措施。由于缺少应用软件安全保护方面的知识，因此目前对于外包团队的项目进行软件安全审计的时候不知道在在软件的安全方面具体要审核那些内容，以及如何去预防这些漏洞，现目前也没有借助一些自动化的工具，因此对应用软件的原代码审计只能采用人工的方式，显得费时费力，并且效率低下，很多漏洞都未能检查到，迫切需要一种新的安全审计策略和措施来加强软件安全的审计问题。

     3、 目前的软件测试流程中只有相关功能、性能方面的测试手段，在安全形势日益严峻的今天没有安全测试的手段，来确保上线的业务系统的安全性。任何应用系统的安全漏洞都有可能会导致企业重要生产数据泄露、业务系统当机。

     4、  没有应用安全信息的管理平台

没有一个集中的应用安全信息管理平台供开发人员、审计人员和管理层交流，不便于内部对与软件项目的安全风险进行收集、处理、分析和预测和评估。

静态分析工具和专家手动审查相结合来尽可能揭示所有的可能存在的安全漏洞，并为客户出具正式报告，供客户改进代码，增强软件安全开发。

分析的流程

运用三步走的方法来执行源代码安全风险评估：确定源代码安全风险评估的审查目标；使用Fortify执行初步扫描并分析安全问题结果；审查应用程序的架构所特有的代码安全问题。

可交付材料

源代码安全风险评估的目标文档描述了这些内容：针对对黑客感兴趣的资产、代码实现上的错误，这些错误将危及这些资产的安全，以及在使用的技术和编程语言中常见错误；针对每一个已经识别漏洞的报告，包括所发现漏洞的概述、影响和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议；最终源代码安全风险评估报告详细说明本次风险评估结果、成果和整体印象、审查期间发现的问题、进行额外审查的建议，以及针对已确定漏洞进行补救的建议。

Fortify SCA 工作台

Fortify SCA 各类报告导出

Fortify SCA 成功输出报告

正式报告如下（样例报告）

上述报告仅供参考