Fortify 静态代码分析器(SCA)利用多种算法和扩展的安全编码规则知识库,分析应用程序的源代码,及时发现可修复的漏洞。
为更好处理代码,Fortify SCA 的工作方式与编译器存在相似性——读取并将源代码文件转换为增强的中间结构,以快速执行安全分析。分析引擎由多个专门的分析程序组成,基于安全编码规则分析代码库是否违反了安全编码实践。除此外,Fortify SCA 还提供规则构建器以扩展静态分析,并包含自定义规则,用户根据受众和任务特性,灵活查看分析结果。
Fortify编写自定义规则原理
要编写有效的自定义规则,就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数,有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言,都有其庞大的开源框架和lib库。所以自定义规则,既要精通安全漏洞原理,又要熟练掌握一门或几门开发语言,一般自定义规则用的比较多的语言有java、C/C++、PHP等。其次必须识别与安全相关的函数,并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系,使用自定义规则编辑器来创建规则就相对简单了。
Fortify是Micro Focus旗下AST (应用程序安全测试)产品,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Centre是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。
Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现安全监测,Fortify具有源代码安全分析,可定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。
以上信息由专业从事源代码检测工具fortify sca价格的华克斯于2025/5/3 5:33:41发布
转载请注明来源:http://beijing.mf1288.com/hksxxkj-2859486750.html
