Fortify Audit Workbench 是一个审计平台,又不仅仅是一个审计工作平台。
Fortify Audit Workbench 是SCA的一个补充,它以图形用户界面的方式使得开发组织和安全审计团队能够快速组织/审查/划分SCA的扫描结果的优先级,更快查找和定位安全问题.从而使得安全缺陷被快速修复。
Fortify Audit Workbench使安全审计人员,开发人员快速地理解安全漏洞,学习它,修复它成为可能。
Fortify 漏洞审计---Audit Workbench
Audit Workbench---Audit
Audit Workbench---Report
Fortify SCA 扫描的工作
Fortify SCA 扫描的两个阶段
源代码内部格式转换阶段
Fortify 语言解释器对分析的源代码文件- ASP.NET, C/C++, C#, Java™,JSP, PL/SQL, T-SQL, VB.NET, XML 等进行分析和处理,使之转化成一种fortify 的内部格式NST文件。以便于在第二阶段分析引擎对这种统一的格式文件使用安全代码规则集进行分析。
分析引擎分析阶段
Fortify 分析引擎使用数据流分析器( Data Flow Analyzer)、语义分析器( Semantic Analyzer)、控制流分析器( Control Flow Analyzer)、配置流分析器( Configuration Analyzer)和结构分析器( Structural Analyzer)调用Secure Coding Rules(安全代码规则集)进行分析,分析的原始结果存放在最初的FPR或者FVDL文件里。然后我们使用Fortify Audit WorkBeach(审计平台)打开FPR文件就可以看到具体的分析结果。