Fortify SCA 支持的開發(fā)語言

XML

12. ?C/C++

13. ?PHP

14. ?T-SQL ?(MSSQLDB)

15. ?PL/SQL(OracleDB)

16. ?Acti***cript

17. ?Objective-C(iPhone)

18.ColdFusion

19.Python

Fortify

SCA支持掃描字節(jié)碼（Java源代碼編譯之后的形式），支持Class文

件、Jar文件。

2. Fortify

SCA全mian支持Ruby語言

3. Fortify

SCA支持xin版本的蘋果IOS移動應(yīng)用測試，Xcode6.0，

6.1，and6.2

20.COBOL

21.SAP-ABAP

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

強(qiáng)化SCA Visual Studio插件

注意：此插件隨SCA_and_Tools安裝程序一起提供。

用于Visual Studio的HPE Security Fortify軟件包（完整軟件包）。完整軟件包使用HPE Security Fortify靜態(tài)代碼分析器（SCA）和HPE Security Fortify安全編碼規(guī)則包來定位解決方案和項(xiàng)目中的安全漏洞（包括對以下語言的支持：C / C ++，C＃，Visual Basic .NET和ASP 。凈）。掃描結(jié)果顯示在Visual Studio中，并包括未被覆蓋的問題列表，每個問題所代表的漏洞類型的說明以及有關(guān)如何解決這些問題的建議。您可以掃描您的代碼，審核分析結(jié)果，源代碼檢測工具fortify 價格，并修復(fù)此完整包的問題。

用于Visual Studio的HPE Security Fortify修復(fù)包（修復(fù)包）。修復(fù)軟件包與HPE Security Fortify軟件安全中心（SSC）協(xié)同工作，為您的軟件安全分析添加補(bǔ)救功能。安裝修復(fù)軟件包后，您可以連接到軟件安全中心，并從Visual Studio解決代碼中的安全相關(guān)問題。您的組織可以使用軟件安全中心的修復(fù)軟件包來管理應(yīng)用程序，并將具體問題分配給正確的開發(fā)人員。修復(fù)包專注于修復(fù)階段，使開發(fā)人員能夠查看報告的漏洞并實(shí)施適當(dāng)?shù)慕鉀Q方案。

用于Visual Studio的HPE安全掃描包（掃描包）。掃描包使您能夠通過Visual Studio在項(xiàng)目和解決方案上使用MSBuild運(yùn)行SCA掃描。它是一個“輕量級”軟件包，它在Visual Studio IDE中占用的空間非常小，僅用于在源代碼上配置和運(yùn)行掃描。掃描包可以解決您的解決方案和項(xiàng)目中的安全漏洞。您可以將掃描結(jié)果（FPR文件）上傳到軟件安全中心，或者在HPE Security Fortify AuditWorkbench中打開它們進(jìn)行審核。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

Fortify軟件如何工作？

Fortify是用于查找軟件代碼中的安全漏洞的SCA。我只是好奇這個軟件在內(nèi)部工作。我知道你需要配置一組代碼將被運(yùn)行的規(guī)則。但是如何才能在代碼中找到漏洞。

有人有什么想法嗎？

提前致謝。

強(qiáng)化

任何想法如何適用于iOS應(yīng)用程序？ Fortify是否有任何Mac軟件通過我們可以掃描iOS代碼Objective-C / Swift代碼？ -

HP Fortify SCA有6個分析器：數(shù)據(jù)流，控制流，源代碼掃描工具fortify 價格，語義，結(jié)構(gòu)，配置和緩沖。每個分析器都會發(fā)現(xiàn)不同類型的漏洞。

數(shù)據(jù)流量此分析儀檢測潛在的漏洞，這些漏洞涉及受到潛在危險使用的污染數(shù)據(jù)（用戶控制輸入）。數(shù)據(jù)流分析器使用全局的，程序間的污染傳播分析來檢測源（用戶輸入站點(diǎn)）和信宿（危險函數(shù)調(diào)用或操作）之間的數(shù)據(jù)流。例如，數(shù)據(jù)流分析器檢測用戶控制的長度的輸入字符串是否被到靜態(tài)大小的緩沖區(qū)中，并檢測用戶控制的字符串是否用于構(gòu)造SQL查詢文本。

控制流程此分析儀檢測潛在的危險操作序列。通過分析程序中的控制流程，控制流程分析器確定一組操作是否以一定順序執(zhí)行。例如，控制流程分析器檢測使用時間的檢查/時間問題和未初始化的變量，源代碼掃描工具fortify 價格，并檢查在使用之前是否正確配置了諸如XML讀取器之類的實(shí)用程序。

結(jié)構(gòu)這可以檢測程序的結(jié)構(gòu)或定義中潛在的危險缺陷。例如，fortify 價格，結(jié)構(gòu)分析器檢測對Java servlet中成員變量的分配，識別未聲明為static final的記錄器的使用，以及由于總是為false的謂詞將永遠(yuǎn)不會執(zhí)行的死代碼的實(shí)例。