HP Fortify SCA安全检测工具初知

产品简介


　　SCA是Fortify SSC (Software Security Center) 的分析器之一。SCA使用于开发阶段，可分析应用程式的程式码是否存有安全漏洞。


　　通过程式码安全分析器找出应用程式可能会执行的所有路径，SCA从程式码中指出安全漏洞。它可以在有效的时间内分析大量的程式码，并可以让开发人员花费更少的时间与精力来了解和解决问题，让修复问题变得容易!


alt


　　产品特色


　　拥有业界最完整的程式码分析器


　　Fortify SCA的核心分析技术和专利的X-TierTM资料流程分析器(专利编号 # 7207065)是现在市场上无其他厂商可比拟，此技术可针对程式原始码进行广泛的检测。X-TierTM资料流程分析器可跨阶层、跨档案、跨程式语言与跨程式架构的分析整个程式的相关流程，结合SCA其成熟的分析引擎技术和精确的安全程式检测规则 ( Rulepack ) ，故其分析结果准确性高且误报率与漏报率极低。


　　可检测502种以上的问题类别


　　可检测安全与品质的问题类别，包含：未针对可能的例外进行处理 (Poor Error Handling) 、程式码含有未使用到的程式码(Unused Method) 、易造成记忆体泄漏的问题如 : 资源未释放 (Unreleased resource) 等的品质问题;以及Cross-siteScripting ( XSS ) 及SQL Injection等的安全问题。


　　严重等级分类，加速修补效率


　　Fortify SCA会将找出的安全问题对系统的危害作严重等级分类，可加速相关人员审查安全问题，加速开发人员修补时程。结束，并会产生一份安全检视报告。


　　安全规则定期更新机制


　　定期提供更新安全规则，由Fortify Software的安全专家和研发团队持续的更新，以保持最新的原始码弱点分析基础。并且提供客制化安全规则功能，以精灵化的方式轻松订定。


　　提供全面资讯的分析结果


　　SCA将分析结果，透过Audit WorkBench使用者介面提供安全弱点相关资讯包含问题追踪流程、Call Graph协助问题分析及确认，并将审查结果记录及分派。提供安全问题说明及修复建议，依实际开发之程式码作为安全问题说明，以提高可读性，加速使用者问题了解及修复。


alt


　　多元化的报表


　　SCA拥有多元化的报表范本，提供丰富的资讯。报表内容包括相关的分析统计数据、完整问题解释与修复建议、分析追踪流程与程式码片段，更容易阅读与分析。并且可很容易新增客制化的报表范本。


alt


　　Fortify静态应用程式安全检测业界第一


　　现今企业在其网路架构、伺服器方面的资安防护措施多半已臻成熟，然而骇客攻击的目标已经由网路层逐渐转向企业所撰写的应用程式。近几年市场出现了数个新兴的应用程式安全检测技术，其中静态应用程式安全检测 (Static Application Security Testing, 以下简称SAST ) 便是检测应用程式安全的主流之一。


　　权威机构Gartner组织针对业界知名的静态应用程式安全检测工具研究报告指出，Fortify 产品不论在工具完整度的愿景(Completeness of Vision) 以及工具的执行力 (Ability to Execute) 皆大幅领先同业，为世界领导品牌。

原文出自【比特网】http://info.chinabyte.com/451/12700951.shtml