fortify sca 软件-华克斯

fortify软件

强化静态代码分析器

使软件更快地生产

强化sca 5.0扩展应用程序保护

fortify软件更新app-dev安全和管理套件。

作者：michael desmond 11/01/2017 fortify software inc.计划出货fortify sca 5.0，该版本是该公司---应用开发---件的更新版本。

fortify sca 5.0目前处于beta版，预计将在年底前发货，是由三个模块组成的源代码分析器。 fortify tracer扫描代码并防止缺陷在设计生命周期的检查部分; fortify defender监视部署的应用程序代码，防止实时攻击;而fortify manager提供了一个基于web的仪表板，用于监控活动和调整配置。

新版本5是通过team server web界面实现的增强协作，使fortify sca仪表板轻触实时数据流。 fortify产品和服务---副总裁barmak meftah表示，新的仪表板允许管理员为不同的团队制定不同的角色和政策。

“到目前为止，我们的终端用户已经是一个---的打击，”meftah说。

fortify软件

强化静态代码分析器

使软件更快地生产

fortify软件如何工作？

fortify是用于查找软件代码中的安全漏洞的sca。我只是好奇这个软件在内部工作。我知道你需要配置一组代码将被运行的规则。但是如何才能在代码中找到漏洞。

有人有什么想法吗？

提前致谢。

强化

任何想法如何适用于ios应用程序？ fortify是否有任何mac软件通过我们可以扫描ios代码objective-c / swift代码？ - 

hp fortify sca有6个分析器：数据流，控制流，语义，结构，配置和缓冲。每个分析器都会发现不同类型的漏洞。

数据流量此分析仪检测潜在的漏洞，这些漏洞涉及受到潜在危险使用的污染数据（用户控制输入）。数据流分析器使用全局的，程序间的污染传播分析来检测源（用户输入站点）和信宿（危险函数调用或操作）之间的数据流。例如，数据流分析器检测用户控制的---长度的输入字符串是否被---到静态大小的缓冲区中，并检测用户控制的字符串是否用于构造sql查询文本。

控制流程此分析仪检测潜在的危险操作序列。通过分析程序中的控制流程，控制流程分析器确定一组操作是否以一定顺序执行。例如，控制流程分析器检测使用时间的检查/时间问题和未初始化的变量，并检查在使用之前是否正确配置了诸如xml读取器之类的实用程序。

结构这可以检测程序的结构或定义中潜在的危险缺陷。例如，结构分析器检测对java servlet中成员变量的分配，识别未声明为static final的记录器的使用，以及由于总是为false的谓词将永远不会执行的死代码的实例。