自动定位代码漏洞并给出修复建议,支持语言最多的工具之一

公众号/B站/知乎:道普云 2021/04/28

随着互联网的高速发展,应用服务在不断满足人们日益丰富多元需求的同时也变得越来越复杂。伴随着互联网技术的发展,计算机语言也不断演进,经历了多次大的变革。我们的应用程序有的经历了长时间的维护和迭代,有的由不同性质的团队共同参与开发,有的组成部分复杂,包含复杂的开源和自研部门……这些现实问题导致软件源代码盘根错节、错综复杂,测试起来令人头疼不已。

 

image.png

 

本期为大家介绍一下自动化静态代码扫描工具Fortify SCA,作为一款业内排名靠前的工具,很多人可能都听说过它,看来看看你是不是真的了解它?

 

Fortify自2009年被Gartner魔力象限评为第一象限,已连续十余年在应用安全测试工具领域占据领导地位,FortifySCA拥有最全面的安全代码规则包,支持市场上最流行、最多样化的编程语言,包括Cobol这样的古老语言,许多金融企业也大多应用这款产品进行软件安全测试。Fortify安全研究团队是业界公认的顶尖安全研究组织,他们会以漏洞检查的形式将收集到的知识输送到 Fortify产品套件中,确保及时检测出最新的威胁。

 

谈到软件安全,目前对何谓重大漏洞尚没有统一的标准。众多组织都发布了自己对严重漏洞的解读,这导致对标准产生了认知差异和疑惑。为了帮助开发人员了解导致安全漏洞的常见编码错误类型,Fortify统一了漏洞的组织分类,并将它们对应到OWASP、SANS、CWE和FISMA等标准中。

 

 

工作原理

 

Fortify SCA处理代码的工作方式基于语言编译器或解释器——它读取源代码文件或文件集合,并将其转换为安全分析而增强的中间格式。此中间格式用于定位安全漏洞。分析引擎由多个专门的分析程序组成,它使用安全编码规则来分析代码。还提供了一个规则生成器来扩展和扩展静态分析功能,并能够包含自定义规则,可以通过多种方式查看结果。

 

功能介绍

 

1、可通过脚本、插件和GUI工具进行集成,开发人员可以在自己喜欢的开发环境中,快速启动运行。

 

2、审计工作台帮助开发人员分析各个漏洞,对其进行优先级排序和修复,并追踪修复情况。

 

3、通过智能代码导航开发人员可以方便地调查、验证、注释和设置问题的严重程度。

 

 

产品优势

 

01支持语言全、漏洞覆盖率高

支持超过27种语言,超过911,000个组件级API,覆盖810多个SAST漏洞分类。

 

02支持丰富的环境

支持主流程序开发平台、构建环境和IDE,可对开发与生产混合环境进行安全检查。

 

03漏洞定位到代码行

拥有强大安全编码规则库,定位漏洞根本原因,提供优先级排序和漏洞修复指南。

 

04支持增量扫描

提供增量扫描功能,只分析自上一次完整扫描之后变更的代码部分,可以大大缩短运行扫描所需时间,提高测试效率。

 

05灵活的集成

可通过脚本、插件和GUI工具集成到任何环境,便于开发人员快速轻松地启动运行。

 

06支持扩展

可根据实际业务需求进行灵活扩展,按需租用,降低测试成本。

 

以往人们对它的印象是好用但是价格昂贵,道普云测试平台与Micro Focus达成战略合作后,对其进行了SaaS化的改造,价格可以低至千元。现在扫描下方二维码,添加工作人员微信,即可申请免费试用,亲自体验这款工具带来的高效和便捷。