FortifySCA  PTA 無需源代碼，部署簡(jiǎn)單方便

與QA測(cè)試活動(dòng)結(jié)合，省時(shí)省力

自動(dòng)化完成測(cè)試，提供安全漏洞信息，源代碼審計(jì)工具fortify報(bào)告中文插件，使修復(fù)漏洞更快，更容易

能達(dá)到較高的測(cè)試覆蓋率，發(fā)現(xiàn)更多安全漏洞，源代碼審計(jì)工具fortify工具，測(cè)試更加全mian

軟件開發(fā)人員：企業(yè)軟件外包商或者內(nèi)部開發(fā)人員。主要對(duì)所開發(fā)項(xiàng)目的漏洞進(jìn)行修復(fù)。

安全測(cè)試人員，主要從事使用Fortify SCA 對(duì)所有需要被測(cè)試項(xiàng)目的源代碼進(jìn)行安全測(cè)試。：一般為軟件測(cè)試部的人員。

安全審計(jì)人員：主要從事軟件安全漏洞審計(jì)的人員，一般與安全測(cè)試人員為同一個(gè)人。主要對(duì)所有項(xiàng)目的漏洞進(jìn)行審計(jì)和漏洞信息發(fā)布。

項(xiàng)目管理人員：主要從事軟件安全測(cè)試事宜的管理，監(jiān)督。以及與外包商/開發(fā)團(tuán)隊(duì)的協(xié)調(diào)工作。一般為安全處/部人員

Fortify Software的目標(biāo)：

             避免企業(yè)所使用的軟件中存在安全漏洞

Fortify Software的方法：

               提高軟件自身的安全防御能力                              

Fortify Software的解決方案：

              解決軟件開發(fā)過程中，軟件開發(fā)人員、安全評(píng)審人員和項(xiàng)目管理人員的通力配合的難題。

Fortify Software的安全產(chǎn)品中包括：

          Fortify的源代碼分析工具集

          Fortify軟件安全管理qi

          Fortify應(yīng)用防衛(wèi)管理qi

          Fortify安全測(cè)試跟蹤qi

–  HPE Fortify SCA

分析的流程

運(yùn)用三步走的方法來執(zhí)行源代碼安全風(fēng)險(xiǎn)評(píng)估：

u  確定源代碼安全風(fēng)險(xiǎn)評(píng)估的審查目標(biāo)

u  使用Fortify執(zhí)行初步掃描并分析安全問題結(jié)果

u  審查應(yīng)用程序的架構(gòu)所特有的代碼安全問題

在第yi步中，我們使用威脅建模（如果可用）的結(jié)果以及對(duì)用于構(gòu)建該應(yīng)用的架構(gòu)和技術(shù)的理解，其目標(biāo)就是尋求一系列的安全漏洞的風(fēng)險(xiǎn)表現(xiàn)形式。在初步檢查過程中，我們將結(jié)合靜態(tài)分析和輕量級(jí)的人工審查來確定代碼中關(guān)鍵點(diǎn)-很可能包含了更多漏洞的地方，初始掃描使我們能夠優(yōu)先考慮風(fēng)險(xiǎn)gao的區(qū)域。

 在審查主要代碼過程中，源代碼審計(jì)工具fortify，我們的源代碼安全分析人員對(duì)代碼進(jìn)行審查來尋找常見安全問題，比如大家熟悉的緩沖區(qū)溢出、跨站點(diǎn)腳本，SQL注入等。終審查用于調(diào)查本應(yīng)用程序架構(gòu)所特有的問題，一般表現(xiàn)為威脅建?；虬踩卣髦谐霈F(xiàn)的威脅，如自定義身份驗(yàn)證或授權(quán)程序等。

源代碼審計(jì)工具fortify報(bào)告中文插件-蘇州華克斯由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是江蘇 蘇州 ,行業(yè)軟件的見證者，多年來，公司貫徹執(zhí)行科學(xué)管理、創(chuàng)新發(fā)展、誠(chéng)實(shí)守信的方針，滿足客戶需求。在華克斯領(lǐng)導(dǎo)攜全體員工熱情歡迎各界人士垂詢洽談，共創(chuàng)華克斯更加美好的未來。