Fortify是什么?

Fortify Software 是世界上第一个提出软件安全新理念的公司,并于2004年推出业界第一款产品。

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。

Fortify Software的产品主要为软件源代码扫描器,软件应用监控, 渗透测试覆盖率检测,支持21种主流语言,500多个应用安全漏洞等。公司拥有150多项专利,居行业之首。目前全球已有600家客户,其中银行,保险,证券占一半以上。全球8大银行如汇丰,花旗,WellsFargo, Morgan已全部采用Fortify Software的解决方案。其他领域的客户为电子商务类的eBay, Google, 软件厂商Oracle,Microsoft 和EMC等以及政府部门。

企业的软件安全现状和需求点

目前国内大多数企业的应用软件开发主要采取软件外包和自主研发相结合的模式,应用软件自身的安全问题,也是一个几乎全新的领域,但是用户已经意识到这是他们下一阶段为确保信息安全必须要做的一个非常重要的事情,此类企业通常有如下的特点。

1、外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。许多已经被OWASP、ISO17799、PCI等信息安全组织标识为严重软件安全漏洞的问题了解不足,或者了解深度不够,从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分,因此在他们的应用系统中存在着许多诸如SQL-injection, Cross-site-Script 的软件安全漏洞。

2、没有完善的应用软件安全的审计策略和措施。由于缺少应用软件安全保护方面的知识,因此目前对于外包团队的项目进行软件安全审计的时候不知道在在软件的安全方面具体要审核那些内容,以及如何去预防这些漏洞,现目前也没有借助一些自动化的工具,因此对应用软件的原代码审计只能采用人工的方式,显得费时费力,并且效率低下,很多漏洞都未能检查到,迫切需要一种新的安全审计策略和措施来加强软件安全的审计问题。

3、 目前的软件测试流程中只有相关功能、性能方面的测试手段,在安全形势日益严峻的今天没有安全测试的手段,来确保上线的业务系统的安全性。任何应用系统的安全漏洞都有可能会导致企业重要生产数据泄露、业务系统当机。

4、  没有应用安全信息的管理平台

没有一个集中的应用安全信息管理平台供开发人员、审计人员和管理层交流,不便于内部对与软件项目的安全风险进行收集、处理、分析和预测和评估。

静态分析工具和专家手动审查相结合来尽可能揭示所有的可能存在的安全漏洞,并为客户出具正式报告,供客户改进代码,增强软件安全开发。

分析的流程

运用三步走的方法来执行源代码安全风险评估:确定源代码安全风险评估的审查目标;使用Fortify执行初步扫描并分析安全问题结果;审查应用程序的架构所特有的代码安全问题。

可交付材料

源代码安全风险评估的目标文档描述了这些内容:针对对黑客感兴趣的资产、代码实现上的错误,这些错误将危及这些资产的安全,以及在使用的技术和编程语言中常见错误;针对每一个已经识别漏洞的报告,包括所发现漏洞的概述、影响和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议;最终源代码安全风险评估报告详细说明本次风险评估结果、成果和整体印象、审查期间发现的问题、进行额外审查的建议,以及针对已确定漏洞进行补救的建议。

Fortify SCA 工作台

Fortify SCA 各类报告导出

Fortify SCA 成功输出报告

正式报告如下(样例报告)

上述报告仅供参考

Fortify SCA报告模板汇总相关推荐

  1. Fortify SCA 源代码安全测试工具-----介绍

    Fortify SCA 源代码安全测试工具-----介绍                  关于fortify成立于2003年的Fortify Software是全球领先的软件安全产品解决方案供应商. ...

  2. 用Fortify SCA分析代码漏洞

    http://www.cnblogs.com/hyddd/archive/2009/02/23/1396790.html hyddd原创,转载请说明. 上次介绍了用FindBugs辅助分析代码漏洞,这 ...

  3. 计算机应用基础实训报告excel,excel实验报告模板

    excel实验报告模板 篇一:EXCEL实验报告 实验报告 注:1.实验报告栏不够可以加页,写完后交纸质打印版. 2.打印时用A4纸,1.5倍行间距,首行缩进2字符,小四号宋体打印. 篇二:Excel ...

  4. 源码扫描工具Fortify SCA和FireLine对比说明

    一.Fortify SCA 1.1软件简介 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源 ...

  5. Fortify SCA快速入门以及常见问题解决方法

    本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测 ...

  6. Java自动化测试菜鸟篇六之ZTestReport报告模板及其Java文件

    注:学习资料来源于行业前辈大牛:Davieyang.D.Y 所授,仅供个人学习,侵删. ZTestReport报告模板 <html> <head><meta charse ...

  7. 计算机社团活动总结ppt模板,2021年社团活动总结模板汇总七篇

    <2021年社团活动总结模板汇总七篇>由会员分享,可在线阅读,更多相关<2021年社团活动总结模板汇总七篇(13页珍藏版)>请在人人文库网上搜索. 1.You must do ...

  8. 使用Python汇总APAI64硬件报告信息汇总硬件台账

    因为集团急需所有机器具体硬件信息,又没有做域控制器,只能按照AIDA64的和CPUZ出报告的方法,最后汇总报告: 首先给全公司发通知自己运行AIDA64,但是发现有问题,所以指定了AIDA64的报告模 ...

  9. 代码质量利器:Fortify SCA使用指南:1

    静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容.SCA可以做到快速准确定位修正场所,同时还可以定制 ...

最新文章

  1. centos 6.8 源码安装 erlang/otp 19.0.2
  2. javascript—事件冒泡
  3. android vectorDrawable使用笔记(一)
  4. DeepLearning.AI第一部分第三周、 浅层神经网络(Shallow neural networks)
  5. java comparator_Java基础之String漫谈(二)
  6. 线条边框简笔画图片大全_儿童简笔画画大全人物
  7. This function has none of DETERMINISTIC, NO SQL解决办法
  8. python生成器迭代器_python 生成器 迭代器
  9. 一文搞懂 Spring JPA
  10. Google 最强开源模型 BERT 在 NLP 中的应用 | 技术头条
  11. CISCO 路由器的E1模块配置指南
  12. 成功EDM电子邮件营销的要素和目标分析
  13. openid4java 使用记录[转载]
  14. Linux环境入侵应急与排查
  15. 专访方志朋:2018年仍然是微服务飞速发展的一年
  16. hashcat软件的简单实用
  17. oracle函数创建及调用
  18. 如果面试遇到临时面试官,怎么办?
  19. 小车手app安卓版下载_小车手app安卓版下载
  20. python----集合

热门文章

  1. 【项目三、车牌检测+识别项目】三、LPRNet车牌识别网络原理和核心源码解读
  2. python如何赚外快 淘宝_Python如何爬取淘宝MM呢?教你一招
  3. Dynamic Web Module 4.0 requires Java 1.8 or newer.
  4. 50部青春励志微电影致我们不朽的青春理想
  5. 冯雪 手术机器人的应用_外科手术机器人发展及其应用
  6. ERP产品销售发货--发货管理(四十一)
  7. 洛谷 P1073 最优贸易 (分层图状态转移+SPFA,求最长路径;另附某dalao的超短代码:暴力+动规)
  8. 解决kettle部署在linux中界面变成英文的问题
  9. vue实现:带关键字跳转企查查并搜索关键字对应的企业
  10. AES链路弹性和故障转移