解决方案概述
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎对应用软件的源代码进行静态的分析,将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供
功能特点:
Foritfy SCA主要包含的五大分析引擎:
数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境,结构中的安全问题。
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
特有的X-Tier™跟踪器:跨跃项目的上下层次,贯穿程序来综合分析问题
最庞大的规则包,目前是业界最大,最全的规则包;
支持的语言业界最多,跨层、跨语言地分析代码的漏洞的产生:C, C++, .Net, Java, JSP,PL/SQL, T-SQL, XML, CFML, JavaScript, PHP, ASP, VB, VBScript;
精确地定位漏洞的产生的全路径,还可以图形化形式展示漏洞产生过程,方便审计;
支持最多的平台,基本上所有平台都支持:Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX;
IDE支持 VS, Eclipse, RAD, WSAD。
用户收益
发现静态代码(静态分析)和运行中的应用(动态分析)中存在的安全漏洞的根源
发现超过480种的漏洞类型,支持19中开发语言和超过680000个API
通过协作更快地修复最重要的安全问题
控制已部署软件中已经存在的漏洞,使其不产生危害
管控软件安全流程
通过利用业界领先的致力于持续研究应用安全的团队来预防风险
确保与政府和行业的合规标准以及内部策略一致,例如支付卡行业数据安全标准(PCI DSS),联邦信息安全管理法案(FISMA),萨班斯法案(SOX),Health Insurance Portability and Accountability Act (HIPAA), North American Electric Reliability Corporation (NERC) 标准等
成功案例
中国海关
北京信息安全测评中心
国家信息技术安全研究中心
中国建设银行
中国银联
中国邮政储蓄银行
浦东发展银行
中国民生银行
北京银行
中国平安
中信银行
上海银行
安利集团
中华英才网
国家电网
海南航空