FortifySCA(代码审计工具)V20.1.1官方版

Fortify SCA是一款代码财务审计专用工具，也做白盒测试方法专用工具用，内嵌的分析引擎、安全性编码规则包、核查操作台、标准自定在线编辑器和指导、IDE 软件五一部分构成专业，用于检验源代码中的漏洞！ 【功能介绍】 　　财务审计作用 　　1、安全问题财务审计結果、财务审计类型区划和难题旁注作用。 　　2、网络安全审计全自动导航功能 　　3、安全性漏洞扫描结果的归纳和难题优先选择等级划分作用。 　　4、安全问题精准定位和难题传送全过程追踪作用。 　　5、安全问题查寻和过虑作用。 　　6、安全问题叙述和强烈推荐修补提议。 　　扫描仪分析作用 　　1、与众不同的控制流分析技术性精准地追踪业务流程实际操作的顺序，发觉因代码结构不科学而产生的手机软件安全风险。 　　2、与众不同的配备流分析技术性分析手机软件的配备和代码的关联，发觉在手机软件配备和代码中间，配备遗失或是不一致而产生的安全风险 　　3、与众不同的数据流分析分析技术性，追踪被感染的、异常的键入数据信息，直至该数据信息被不安全应用的整个过程，并超越全部手机软件的每个层级和计算机语言的界限。 　　4、与众不同的词义分析技术性发觉便于遭到进攻的語言涵数或是全过程，并了解他们应用的前后文自然环境，并标志出应用特殊涵数或是全过程产生的软件平台的安全隐患 　　5、与众不同的代码构造分析技术性从代码的构造层面分析代码，鉴别代码构造不科学而产生的安全性缺点和难题。 　　6、自定安全性代码标准作用。 【手机软件特点】 　　1、扫描仪引擎详细介绍： 　　关键包括的五大分析引擎： 　　数据流分析引擎：追踪，纪录并分析程序流程中的数据信息传送过程中所造成的安全问题。 　　词义引擎：分析程序流程中不安全的涵数，方式的应用的安全问题。 　　构造引擎：分析程序流程前后文自然环境，构造中的安全问题。 　　控制流引擎：分析程序流程特殊時间，情况下实行实际操作命令的安全问题。 　　配备引擎：分析新项目环境变量中的比较敏感信息和配备缺少的安全问题。 　　独有的X-Tier定位追踪器：跨跃新项目的左右层级，围绕程序流程来综合性分析难题 　　2、原理：最先根据启用語言的c语言编译器或是编译器把前端开发的語言代码（如JAVA，CIC 源代码）转化成一种正中间文件类型NST（Normal Syntax Tree将其源代码中间的启用关联，实行自然环境，前后文等分析清晰。随后再根据所述的五大分析引擎从五个横切面来分析这一NST，配对全部标准库文件的漏洞特点，一旦发觉漏洞就爬取出去。最终产生包括详尽漏洞信息的FPR結果文档，用AWB开启查询。 　　3、Fortify SCA扫描仪的結果以下： 　　結果文档为.FPR文档，包含详尽的漏洞信息：漏洞归类，漏洞造成的全途径，漏洞所属的源代码行，漏洞的详细描述及修补提议等。 　　4、可以扫描仪的安全性漏洞类型有： 　　能够 扫描仪出约350种漏洞，将全部安全性漏洞梳理归类，依据编程语言分新项目，再细分化为八个大类，约350身高类。 　　5、适用混和語言的分析，包含ASP、.NET、C/C 、C#、Java、 JSP；适用Windows、Linux、Mac OS等多种多样电脑操作系统。 　　6、适用自定软件平台代码标准。 　　7、集成化开发软件自然环境（Microsoft Visual Studio, IBM RAD, and Eclipse.）和全自动商品搭建全过程。