fortify sca是一款用于扫描网站源码安全性的工具,这款软件可以帮助程序员分析源码漏洞,一旦检测出安全问题,安全编码规则包会提供有关问题的信息,让开发人员能够计划并实施修复工作,这样比研究问题的安全细节更为有效。
功能介绍:
审计功能:
1.安全问题审计结果、审计类别划分和问题旁注功能。
2.安全审计自动导航功能
3.安全漏洞扫描结果的汇总和问题优先级别划分功能。
4.安全问题定位和问题传递过程跟踪功能。
5.安全问题查询和过滤功能。
6.安全问题描述和推荐修复建议。
扫描分析功能:
1.独特的控制流分析技术精确地跟踪业务操作的先后顺序,发现因代码构造不合理而带来的软件安全隐患。
2.独特的配置流分析技术分析软件的配置和代码的关系,发现在软件配置和代码之间,配置丢失或者不一致而带来的安全隐患
3.独特的数据流分析技术,跟踪被感染的、可疑的输入数据,直到该数据被不安全使用的全过程,并跨越整个软件的各个层次和编程语言的边界。
4.独特的语义分析技术发现易于遭受攻击的语言函数或者过程,并理解它们使用的上下文环境,并标识出使用特定函数或者过程带来的软件安全的隐患
5.独特的代码结构分析技术从代码的结构方面分析代码,识别代码结构不合理而带来的安全弱点和问题。
6.自定义安全代码规则功能。
功能介绍:
开始页面概述
开始页面包含以下几个区域:
Start New Project(启动新项目):启动源代码扫描向导。
Custom Rules Editor(自定义规则编辑器):启动用于创建和检查安全规则或编码实践规则的工具,这些规则可针对您的源代码进行自定义。
Open Project(打开项目):单击某一项目名称可打开最近的项目;或使用“Open Project(打开项目)”链接可定位到某一项目。
fortify\bin\AuditWorkbench.cmd 开始页面:
4、审计界面概述
下图显示了“Auditing(审计)”界面中的 Webgoat FPR 文件示例。
Audit Workbench 界面:
Audit Workbench 界面由以下几个面板组成:
“Issues(问题)”面板
“Analysis Trace(分析跟踪)”面板
“Project Summary(项目摘要)”面板
“Source Code Viewer(源代码查看器)”面板
“Function(函数)”面板
“Issue Auditing(问题审计)”面板
“Issues(问题)”面板
使用 Issues(问题)面板,您可以对希望审计的问题进行分组和选择。该面板由下列元素组成:
“Filter Set(过滤器组)”下拉列表
“Folders(文件夹)”选项卡
Group by(分组方式)
“Search(搜索)”框
问题面板:
“Filter Set(过滤器组)”下拉列表
过滤器组控制着“Issue(问题)”面板的设置和显示属性。过滤器组是项目配置的一部分。您可以为每个项目自定义不同的过滤器组。每个项目均可具有唯一的过滤器组。
“Filter Set(过滤器组)”部分包含以下设置:
文件夹的名称和颜色。要进行配置,请选择 Tools(工具)- Project Configuration(项目配置)- Folder Settings(文件夹设置)。
问题列出的位置,以及是否列出。要进行配置,请选择 Options(选项)- Show View(显示视图)- Filters(过滤器)。
注意:“Audit Guide Visibility Filters(审计指南可见性过滤器)”配置适用于整个项目。
Fortify Software 提供了默认过滤器组:Broad(广泛)、Medium(普通)、Targeted(特定)和 Developer(开发人员)。“Filter Sets(过滤器组)”将问题按严重性归类于“Hot(严重)”、“Warning(警告)”和“Info(信息)”文件夹中。 所有过滤器组都具有相同的文件夹过滤器。