產品展示
Product display
HP Fortify SCA產品介紹
? 產品概述
HP Fortify SCA是惠普企業安全推出的軟件應用安全整體解決方案--Fortify Software Security Center的靜態代碼分析測試工具。SCA用于分析應用程序的源代碼是否存在安全漏洞和質量問題。SCA通過分析應用程序可能會執行的所有路徑,能夠從源代碼上識別軟件的漏洞。它的優秀特性使其可以在更短的時間內審查更多的代碼,并可以幫助開發者花費更少的精力來確定問題和解決問題。
1) 業界最完整的靜態代碼分析器
HP Fortify SCA 在發現和分析漏洞方面是最全面的。SCA的分析引擎和已獲得專利的X-Tier?數據流分析器在一個其它技術無法到達的深度對問題進行廣泛檢測。SCA的分析引擎以最大和最全面的安全編碼規則為基礎,該規則中的漏洞類別達到600多種,并且 HP Fortify的安全專家們還在不斷的更新這些規則。支持23種開發語言ABAP、ASP.NET、C,C++、C#、Classic ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJAX、JSP、Objective C、Swift、PL/SQL、PHP、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTML、Ruby業界最多。業界率先支持手機移動應用開發語言的測試。支持所有主流操作系統如Windows, Linux, Unix, HP-Unix, AIX, Mac OS和 Sun Solaris等。
2) 在確認安全漏洞上的無與倫比的準確性
HP Fortify SCA 在提供準確的結果方面相當的優異。由于其成熟的引擎技術和精確的安全編碼規則,故其以非常低的誤報率對問題進行排名和分類。安全編碼規則可以自動更新到先進的、切合時宜的能準確地識別漏洞的安全專業知識。
3) 市場的絕對領導地位
HP Fortify SCA無論全球范圍內還是國內都擁有最大的市場份額和最高的用戶口碑,多次榮獲全球著名的軟件安全大獎,包括Jolt、CODiE、InforWord、SC Magazine等等。從產品誕生起一直在全球最具權威的IT研究咨詢機構Gartner研究報告中位于領導者(leaders)地位。
最新的針對全球應用安全測試產品市場的Gartner研究報告魔力象限圖如下:
4) 產品架構及設計原則
HP Fortify SCA主要包含的五大分析引擎:
數據流引擎:跟蹤, 記錄并分析程序中的數據傳遞過程所產生的安全問題。
語義引擎:分析程序中不安全的函數, 方法的使用的安全問題。
結構引擎:分析程序上下文環境, 結構中的安全問題。
控制流引擎:分析程序特定時間, 狀態下執行操作指令的安全問題。
配置引擎:分析項目配置文件中的敏感信息和配置缺失的安全問題。
特有的X-Tier?跟蹤器:跨躍項目的上下層次, 貫穿程序來綜合分析問題
? 產品功能說明
1) 產品的易用性
HP Fortify SCA界面友好,安裝配置非常簡單,易操作,用戶很容易上手。測試結果生成特有的FPR文件,無需數據庫支持。用戶只需選擇被測項目,SCA將自動識別被測試的源代碼類型,自動配置相應的參數和掃描規則庫,無需用戶做更多的操作即可啟動測試掃描。
2) 掃描分析和審計功能
HP Fortify SCA內置五大分析引擎,提供強大的代碼分析能力,通過數據流分析引擎,語義分析引擎,結構分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier跟蹤器從不同方面多維度的分析代碼中存在的安全漏洞和質量問題。可以支持Web應用的三層框架多種語言整合在一起測試。并且對安全漏洞掃描結果進行匯總,并按照問題的嚴重性和可能性進行級別的合理劃分。如Critical,High,Medium,Low四個級別。用戶能夠根據企業自身需要來調整和修改問題的默認分級策略,方便審計。并且提供每個安全漏洞的中文詳細描述和較明確和詳盡的推薦修復建議。
HP Fortify SCA可以迅速、準確定位某一特定安全漏洞所在的源代碼行,對問題產生的整個過程進行跟蹤,并能以圖形化的形式展現。
HP Fortify SCA可以對掃描結果設置幾十種過濾條件,如可以設置按照8大類,500多個小類,文件名,方法名,漏洞優先級別,各種國際標準如PCI、OWASP、CWE等等,提供非常豐富的過濾條件。
通過設置過濾條件后,還可以輸出為模板,提供給其他項目使用,大大地節省了時間和工作量,提供了效率,如下圖點擊Export即可將當前所有配置導出為一個XML文檔,作為模板。
HP Fortify SCA可以針對客戶的個性化需求,勾選報表模板中的內容,生成符合用戶需要的報告。生成報告時,仍然可以在完成過濾的基礎上,對報告內容繼續設置條件,實現報告的自定義化。提供多種格式的檢測報告,如:PDF、Xml,Word等。
HP Fortify SCA可以生成內容詳盡,專業易懂的全中文測試結果分析報告
其中包含了目前危害最大和最常見的代碼安全和質量問題,如下:
跨站腳本攻擊、SQL注入、資源泄漏、命令注入、路徑操縱、過程控制、參數操縱、私密信息泄露、緩沖區溢出漏洞、系統信息泄漏漏洞、資源競爭問題、跨站請求偽造、弱加密、不安全的隨機數?明文密碼存儲配置文件、密碼管理:硬編碼密碼、日志偽造、XML 注入、XPath 注入、LDAP注入、未釋放的資源、丟失的安全配置、錯誤的日志處理、常被誤用的函數、錯誤的異常處理、空指針引用、死代碼、拒絕服務、未使用的變量、未初始化變量、格式化字符錯誤、J2EE 不好的實踐、兩次釋放指針
? 產品性能
HP Fortify SCA采用了獨有的多核編程技術,可以充分利用計算機硬件的性能,隨著CPU核數以及內存的增加,對于相同項目的測試速度可以達到其他產品的10倍以上。
? 產品系統集成和可擴展性
HP Fortify SCA可以和目前所有主流的IDE集成開發環境集成,業界最多,開發人員可以通過IDE集成開發環境輕松完成代碼的安全測試和審計,主要支持的IDE插件如Eclipse 、Microsoft Visual Studio、JDeveloper、IntelliJ、RAD等,如 Microsoft Visual Studio界面中可以看到HP Fortify SCA功能菜單。
通過HP FortifySCA-IDE插件可以完成對所選項目的HP FortifySCA代碼安全測試掃描、審計以及發布測試結果等工作,完全具備HP FortifySCA審計工作臺的所有功能,由于集成在開發人員的IDE
開發環境中,可以更加方便開發人員針對自己開發的代碼做及時的檢測,并且得到及時的修復。使用方便,功能強大,遠遠領先于業界其他產品。
HP Fortify SCA可以支持和Jira、ALM/QC、Bugzilla等主流的質量管理系統集成。使安全測試、功能測試和性能測試發現的問題統一管理,與開發團隊現有的流程相融合。
HP Fortify漏洞管理平臺可以支持和企業LDAP域用戶服務器和Email服務器的集成。 提高工作效率,實現集中管理。可以支持和主流持續集成平臺的整合如Jenkins(Hudson),實現從獲取最新代碼、構建編譯、安全測試、結果發布的全自動化,提高工作效率,節省人力成本。
HP Fortify SCA可以支持和主流的黑盒Web應用安全測試產品HP WebInspect進行黑白盒關聯分析,提高了安全性測試結果的關聯性和準確性、精確定位問題根源、減少解決安全問題的時間、按照優先級處理漏洞節省資源。
HPFortify SCA還可以實現和目前最流行的開源java代碼質量檢查工具Findbugs的無縫集成,無論HPFortify SCA界面還是生成的報告中,都可以顯示Findbugs發現的問題。
