fortify sca购买-华克斯

fortifysca系统集成和可扩展性

·        

可以支持和qc、bugzilla等主流的管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。  

·        

漏洞管理平台可以支持和企业ldap域用户服务器和email服务器的集成。 提高工作效率，fortify sca-代理，实现集中管理。

·        

可以支持和主流持续集成平台的整合如hudson/jenkins，实现从获取xin代码、构建编译、安全测试、结果发布的全自动化，提高工作效率，节省人力成本。

·        

可以支持和主流的黑盒web应用安全测试产品进行黑白盒关联分析，具有-的可扩展性，提高应用安全测试结果的准确性，并且得到-的定位和修复。

fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和api的潜在危险用途。基本上是一个聪明的grep。

配置此分析器在应用程序的部署配置文件中搜索错误，弱点和策略-。

缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。

分享这个-

于十二月二十四日十二时十七分

感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，我将非常感谢。 - 新手十二月2712 at 4:22

1

有一个-的，但干燥的书的主题：amazon.com/secure-programming-static--ysis-brian/dp/... - lajmon nov 8 12 at 16:09

现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找html，jsp for xpath匹配） - lavamunky 11月28日13日11:38

@lajmon有一个-的-，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：

您的源代码被转换为中间模型，该模型针对sca的分析进行了优化。

某些类型的代码需要多个阶段的翻译。例如，需要先将c＃文件编译成一个debug.dll或-文件，然后将该.net二进制文件通过.net sdk实用程序ildasm-反汇编成microsoft intermediate language（msil）。而像其他文件（如java文件或asp文件）由相应的fortify sca翻译器一次翻译成该语言。

sca将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入fpr文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。