fortify规则-苏州华克斯信息

Fortify SCA 简介

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在

的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的 提供。

1．Fortify

SCA 扫描引擎介绍：

Foritfy   SCA

主要包含的五大分析引擎：

z   数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生

的安全问题。

z 语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

z 结构引擎：分析程序上下文环境，结构中的安全问题。

z   控制流引擎：分析程序特定时间，状态下执行操作指令的安全 问题。

z   配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全

问题。

z   特有的 X-Tier?跟zong器：跨跃项目的上下层次，贯穿程序来综合 分析问题

Fortify软件

强化产品包括静态应用程序安全测试[11]和动态应用程序安全测试[12]产品，以及在软件应用程序生命周期内支持软件安全保障或可重复和可审计的安全行为的产品和服务。 13]

2011年2月，Fortify还宣布了Fortify OnDemand，一个静态和动态的应用程序测试服务。[14]

静态代码分析工具列表

HP WebInspect

惠普新闻稿：“惠普完成Fortify软件的收购，加速应用程序生命周期安全”2010年9月22日。

跳转软件搜索安全漏洞（英文），，2004年4月5日

2004年4月5日，跳起来加强软件的新方法

跳起来^桑德，保罗;贝克，莉安娜B.（08-09-08）。 “惠普企业与Micro Focus软件资产交易达88亿美元。”路透社。已取消2010-09-13

跳起来^“开源社区的质量和解决方案”于2016年3月4日在Wayback机上归档。

跳起来^“软件安全错误”归档2012年11月27日，在Wayback机。

跳起来“JavaScript劫持”于2015年6月23日在Wayback机上存档。

跳起来^“通过交叉构建注入攻击构建”

跳起来“看你所写的：通过观察节目输出来防止跨站脚本”

跳起来^“动态污染传播”

跳起来强化SCA

跳起来^ Fortify Runtime

惠普强化治理

跳高^ SD Times，“惠普建立了安全即服务”2011年2月15日。

Fortify软件

Fortify g

类型

前独立软件厂商

行业计算机软件

类型软件

公司成立2003

Kleiner创始人Ted Schlein，Perkins，Caufield＆Byers，Mike Armistead，Brian Chess，Arthur Do，源代码审计工具fortify规则，Roger Thornton

总部圣马特奥，加利福尼亚州，美国

关键人物

约翰·杰克（前执行官），雅各布·西（安全研究小组组长），布莱恩·国际象棋（前科学家），亚瑟·杜（前总裁）

业主Hewlett Packard Company

网站

HP软件安全网页和

HP Fortify软件安全中心服务器

Fortify软件，后来被称为Fortify Inc.，是一家位于加利福尼亚州的软件安全供应商，成立于2003年，由惠普在2010年收购[1]，成为惠普企业安全产品的一部分[2] [3]

2010年9月7日，HPE执行官梅格·惠特曼（Meg Whitman）宣布，fortify规则，包括Fortify在内的Hewlett Packard Enterprise的软件资产将与Micro Focus合并，以创建一个独立的公司，惠普企业股东将保留多数所有权。微焦点执行官凯文·洛西莫尔（Kevin Loosemore）称这项交易“完全符合我们既定的收购策略，并将重点放在成熟基础设施产品的有效管理上”，并表示Micro Focus旨在“为成熟资产带来盈利空间 - 约80百分之一 - 从今天的百分之二十一微科技在三年内现有的46％的水平。“[4]

技术咨询weiyuanhui

Fortify的技术咨询weiyuanhui由Avi Rubin，Bill Joy，源代码检测工具fortify规则，David A. Wagner，Fred Schneider，Gary McGraw，源代码扫描工具fortify规则，Greg Morrisett，Li Gong，Marcus Ranum，Matt Bishop，William Pugh和John Viega组成。

安全研究

除了Fortify的分析软件的安全规则外，Fortify还创建了一个维护Java Open Review项目[5]和Vulncat安全漏洞分类的安全研究小组。[6]小组成员写了这本书，安全编码与静态分析，并发表了研究，包括JavaScript劫持，[7]攻击构建：交叉构建注入，[8]观察你写的：通过观察程序输出来防止跨站点脚本[9]和动态趋势传播：找不到攻击的脆弱性[10]