Fortify SCA

Fortify SCA扫描引擎

• 数据流引擎：跟踪,记录并分析程序中的数据传递过程所产生的安全问题。

• 语义引擎：分析程序中不安全的函数,方法的使用的安全问题。

• 结构引擎：分析程序上下文环境,结构中的安全问题。

• 控制流引擎：分析程序特定时间,状态下执行操作指令的安全问题。

• 配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

• 特有的X-Tier跟踪器：跨跃项目的上下层次,贯穿程序来综合分析问题。

Fortify SCA工作原理

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST，匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件，用审计工作台打开查看。

Fortify SCA关键特征

最庞大的安全编码规则包

- 定义了350多种类型的安全漏洞

跨层、跨语言地分析代码的漏洞的产生

- C/C++、Java、JSP、 XML、 JavaScript、 PL-SQL/T-SQL、

- VB.NET、ASP、PHP、C#、VB、 VBScript、ASP.NET、

- Python 、ABAP 、COBOL 、Objective-C等语言

精确地定位漏洞的产生的全路径

支持不同的软件开发平台

- Platform: Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX

- IDEs: Visual Studio, Eclipse, RAD, WSAD

Fortify SCA支持的语言

• Java(Android)

• C/C++

•  Objective-C(IOS)

•  C#

• C#.NET

• ASP

• ASP.NET

•  PHP

• JSP

• HTML

•  XML

• VB6

• VBScript

• VB.NET

• JavaScript

• ActionScript

• ECMAScript

• T-SQL

•  PL/SQL

• Ruby

• Scala

• Swift

• ColdFusion

• Python

• COBOL

• ABAP/BSP

Fortify SCA支持的操作系统

• Windows

• Solaris

• Red Hat Linux

• Mac OS X

• HP-UX

• IBM AIX