华克斯信息-fortify sca

fortify source code ---ysis suite是目前在使用为广泛的软件源代码安全扫描，分析和软件安全风险管理软件。该软件多次荣获的软件安全大奖，包括inforword，fortify sca， jolt，源代码审计工具fortify sca，sc magazine….目前众多的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率，源代码检测工具fortify sca，监视和管理软件安全的风险.

fortify sca源代码安全漏洞的审计功能：

1．安全漏洞扫描结果的汇总和问题优先级别划分功能。

2．安全审计自动导航功能

3．安全问题定位和问题传递过程---功能。

4．安全问题查询和过滤功能。

5．安全问题审计结果、审计类别划分和问题旁注功能。

6．安全问题描述和修复建议。

fortify system命令执行检测

除了使用 dataflowsourcerule 、dataflowsinkrule 等规则来定义污点---相关的属性外，fortify还支持使用 characterizationrule 来定义污点---相关的特性。

fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗 structural tree，然后扫描的时候使用 structural ---yzer 来解析 structuralrule ，蕞后输出匹配的代码。

下面以一个简单的示例看看 structural tree 的结构，示例代码如下