Fority代码审计工具介绍

原创 2011年01月12日 13:49:00

Fortify SCA简介

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。

  1. Fortify SCA 产品组件介绍:

    Fortify SCA是一个产品的套件,它是由内置的分析引擎、安全编码规则包、审查工作台、规则自定义编辑器和向导、IDE 插件五部分组件,五个组件配合工作完成对源代码安全漏洞的扫描,分析,查看,审计等工作。简单介绍这五个部分如下:

  • 分析引擎:内置五大分析引擎与规则包配合工作,从五个侧面全面地分析程序源代码中的安全漏洞。
  • 安全编码规则包:由多位顶级的软件安全专家,多年研究出来的数十万条软件安全漏洞特征的集合。目前能查找出来约350多种安全漏洞,内置在SCA中与分析引擎配合工作。
  • 审计工作台:一个用来查看,审计SCA分析出来的漏洞结果的综合的平台,它包含大量的丰富的软件漏洞的信息,如下图2 所示,它包括了漏洞的分级,漏洞产生的全过程,漏洞所在的源代码行数定位,以及漏洞的解释说明和推荐的修复建议等内容,极大地方便地用户对SCA的查看,审计等工作。
  • 规则自定义向导/编辑器:Fortify SCA的规则支持自定义功能,方便用户来扩展SCA对漏洞的分析能力,所以SCA提供了一个用户自定义的向导和编辑器。
  • IDE插件:为了方便用户使用SCA对程序源代码进行安全扫描,它提供了多种IDE工具的插件,如Eclipse, Visual Studio,RAD, WSAD等。

2.Fortify SCA 扫描引擎介绍:

Foritfy SCA主要包含的五大分析引擎:

  • 数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题。
  • 语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
  • 结构引擎:分析程序上下文环境,结构中的安全问题。
  • 控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
  • 配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
  • 特有的X-Tier™跟踪器:跨跃项目的上下层次,贯穿程序来综合分析问题

3. Fortify SCA 的工作原理:

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST,匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。

图1:Fortify SCA 工作原理图

4.Fortify SCA 扫描的结果如下:

Fortify SCA 的结果文件为.FPR文件,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明及修复建议等。如下图:

图2:Foritfy AWB 查看结果图

 

5.Fortify SCA支持的平台:

6.Fortify SCA支持的编程语言:

7.Fortify SCA plug-In 支持的有:

8.Fortify SCA目前能够扫描的安全漏洞种类有:

目前Fortify SCA可以扫描出约350种漏洞,Fortify将所有安全漏洞整理分类,根据开发语言分项目,再细分为8个大类,约350个子类,具体信息可登录Fortify 官方网http://www.fortify.com/vulncat/ 进行查询。


 

代码审计工具简单汇总

一:php工具 使用zend studio、Phpstorm等工具可以分析调试PHP程序,UE经过配置之后也可以调试执行PHP程序。 二:seay、RIPS、Findbugs、Fortif...
  • duangduang2020
  • duangduang2020
  • 2016年01月18日 19:21
  • 679

源代码审计工具

  • 2016年06月05日 19:16
  • 25.12MB
  • 下载

代码审计方法与准备

代码审计方法与准备
  • XavierDarkness
  • XavierDarkness
  • 2017年09月19日 15:11
  • 536

代码安全审计工具

  • 2015年07月10日 11:49
  • 25.12MB
  • 下载

Android 代码审计工具和常见问题

1.Android lint工具 Android studio 找到Analyze目录下的Inspect Code 检查代码选择检查代码的范围 2.FindBugs_IDEA 插件 An...
  • hellenicguo
  • hellenicguo
  • 2016年11月25日 13:46
  • 665

代码审计工具Findbugs自动检查CheckList及配置方法

  • 2013年07月04日 12:39
  • 31KB
  • 下载

Fortify SCA快速入门以及常见问题解决方法

本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测...
  • xreztento
  • xreztento
  • 2015年10月15日 17:39
  • 13660

CheckStyle(Java代码审计工具)

假设Checkstyle位于全局的classpath中,可以使用如下的taskdef定义: checkstyle任务的参数: file:需要检查的文件。 config:指定配置文件。 co...
  • love_baobao
  • love_baobao
  • 2011年09月23日 10:52
  • 2862

攻击JavaWeb应用[6]-程序架构与代码审计

注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限。这一节重点是怎样去找到并利用问题去获取一些有意思的东西。 Bef...
  • xiaoshan812613234
  • xiaoshan812613234
  • 2014年11月14日 15:24
  • 894

源代码审计-本地javaWeb网站-jeeCMS7

前言      JavaWeb逐渐成为企业级网站的首选,
  • cavalier_anyue
  • cavalier_anyue
  • 2016年10月16日 21:38
  • 525
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Fority代码审计工具介绍
举报原因:
原因补充:

(最多只允许输入30个字)