fortify sca源码漏洞扫描工具 v6.0 最新版

fortify sca是一款用于扫描网站源码安全性的工具，这款软件可以帮助程序员分析源码漏洞，一旦检测出安全问题，安全编码规则包会提供有关问题的信息，让开发人员能够计划并实施修复工作，这样比研究问题的安全细节更为有效。

功能介绍：

审计功能：

1.安全问题审计结果、审计类别划分和问题旁注功能。

2.安全审计自动导航功能

3.安全漏洞扫描结果的汇总和问题优先级别划分功能。

4.安全问题定位和问题传递过程跟踪功能。

5.安全问题查询和过滤功能。

6.安全问题描述和推荐修复建议。

扫描分析功能：

1.独特的控制流分析技术精确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。

2.独特的配置流分析技术分析软件的配置和代码的关系，发现在软件配置和代码之间，配置丢失或者不一致而带来的安全隐患

3.独特的数据流分析技术，跟踪被感染的、可疑的输入数据，直到该数据被不安全使用的全过程，并跨越整个软件的各个层次和编程语言的边界。

4.独特的语义分析技术发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，并标识出使用特定函数或者过程带来的软件安全的隐患

5.独特的代码结构分析技术从代码的结构方面分析代码，识别代码结构不合理而带来的安全弱点和问题。

6.自定义安全代码规则功能。

功能介绍：

开始页面概述

开始页面包含以下几个区域：

Start New Project（启动新项目）：启动源代码扫描向导。

Custom Rules Editor（自定义规则编辑器）：启动用于创建和检查安全规则或编码实践规则的工具，这些规则可针对您的源代码进行自定义。

Open Project（打开项目）：单击某一项目名称可打开最近的项目；或使用“Open Project（打开项目）”链接可定位到某一项目。

fortify\bin\AuditWorkbench.cmd 开始页面：

4、审计界面概述

下图显示了“Auditing（审计）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下几个面板组成：

“Issues（问题）”面板

“Analysis Trace（分析跟踪）”面板

“Project Summary（项目摘要）”面板

“Source Code Viewer（源代码查看器）”面板

“Function（函数）”面板

“Issue Auditing（问题审计）”面板

“Issues（问题）”面板

使用 Issues（问题）面板，您可以对希望审计的问题进行分组和选择。该面板由下列元素组成：

“Filter Set（过滤器组）”下拉列表

“Folders（文件夹）”选项卡

Group by（分组方式）

“Search（搜索）”框

问题面板：

“Filter Set（过滤器组）”下拉列表

过滤器组控制着“Issue（问题）”面板的设置和显示属性。过滤器组是项目配置的一部分。您可以为每个项目自定义不同的过滤器组。每个项目均可具有唯一的过滤器组。

“Filter Set（过滤器组）”部分包含以下设置：

文件夹的名称和颜色。要进行配置，请选择 Tools（工具）- Project Configuration（项目配置）- Folder Settings（文件夹设置）。

问题列出的位置，以及是否列出。要进行配置，请选择 Options（选项）- Show View（显示视图）- Filters（过滤器）。

注意：“Audit Guide Visibility Filters（审计指南可见性过滤器）”配置适用于整个项目。

Fortify Software 提供了默认过滤器组：Broad（广泛）、Medium（普通）、Targeted（特定）和 Developer（开发人员）。“Filter Sets（过滤器组）”将问题按严重性归类于“Hot（严重）”、“Warning（警告）”和“Info（信息）”文件夹中。 所有过滤器组都具有相同的文件夹过滤器。