–HPE Fortify SCA

分析的流程

運用三步走的方法來執行源代碼安全風險評估：

u確定源代碼安全風險評估的審查目標

u使用Fortify執行初步掃描并分析安全問題結果

u審查應用程序的架構所特有的代碼安全問題

在第yi步中，我們使用威脅建模（如果可用）的結果以及對用于構建該應用的架構和技術的理解，其目標就是尋求一系列的安全漏洞的風險表現形式。在初步檢查過程中，我們將結合靜態分析和輕量級的人工審查來確定代碼中關鍵點-很可能包含了更多漏洞的地方，初始掃描使我們能夠優先考慮風險gao的區域。

在審查主要代碼過程中，我們的源代碼安全分析人員對代碼進行徹底審查來尋找常見安全問題，比如大家熟悉的緩沖區溢出、跨站點腳本，SQL注入等。終審查用于調查本應用程序架構所特有的問題，一般表現為威脅建模或安全特征中出現的威脅，如自定義身份驗證或授權程序等。

Fortify SCA產品組件及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

數據流分析引擎-----跟蹤,記錄并分析程序中的數據傳遞過程的安全問題

語義分析引擎-----分析程序中不安全的函數,方法的使用的安全問題

結構分析引擎-----分析程序上下文環境,結構中的安全問題

控制流分析引擎-----分析程序特定時間,狀態下執行操作指令的安全問題

配置分析引擎

-----分析項目配置文件中的敏感信息和配置缺失的安全問題

特有的X-Tier?跟蹤qi-----跨躍項目的上下層次,貫穿程序來綜合分析問題

Secure

Coding

Rulepacks

?（安全編碼規則包）

Audit

Workbench（審查工作臺）

Custom

Rule

Editor

&

Custom

RuleWizard(規則自定義編輯器和向導)

DeveloperDesktop

(IDE

插件）

FortifySCA 分析安全漏洞的標準

OWASP top 2004/2007/2010/2013/2014(開放式Web應用程序安全項目)

2. PCI1.1/1.2/2.0/3.0(國際信用ka資料安全

技術PCI標準)

3. WASC24+2(Web應用安全聯合威脅分類)

4. NIST SP800-53Rev.4(美國與技術研究院)

5. FISMA(聯邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全漏洞詞典)

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

應用安全

HPE Security Fortify提供端到端應用安全解決方案，具有靈活的測試內部部署和按需來覆蓋整個軟件開發生命周期。

跨SDLC的應用安全

到2020年，IT將需要每年發布120x應用程序。 隨著發展速度的加快，滿足這一需求，安全工作就要跟上。 無效安全測試效率低下且無效。 當這種方法與新SDLC的速度，集成和自動化相沖突時，安全性成為創新的障礙。 Fortify解決方案將應用程序安全性作為新的SDLC的自然部分，通過建立安全性實現上市時間。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

如何解決Fortify報告的掃描問題

1124,1127由于[嚴重]低內存，掃描進度緩慢

這個錯誤不會影響結果的準確性，但是要加快掃描速度，請參閱：如何增加Fortify的內存進行翻譯

1137功能。 。 。對于詳盡的數據流分析來說太復雜了，進一步分析將被跳過（訪問）如何解決“功能...太復雜”錯誤

1138功能。 。 。對于詳盡的數據流分析來說太復雜了，進一步分析將被跳過（時間）如何解決“功能...太復雜”的錯誤

1212無法在<code location>中解析函數<method>

這是Fortify 17.10的一個已知問題。有關詳細信息，請參閱以下文章：

Fortify SCA版本17.10的Java方法中的函數解析錯誤

1214為類找到多個定義解決多個類定義。考慮將代碼掃描到多個FPR文件（如果適用）。

1215找不到Web應用程序的部署描述符（web.xml）如何解決Fortify無法找到web.xml或WEB-INF目錄的警告

1219無法在給定的搜索路徑和Microsoft .NET framework庫中找到類[...]如何解決“無法找到類...”

1225無法找到Microsoft .NET反匯編程序工具（ildasm）如何解決“無法找到Microsoft .NET反匯編程序工具（ildasm）...”

1237以下對java類的引用無法解析[...]修改提供給Fortify的類路徑以包含包含列出的類的jar文件。

1343功能。 。 。對于控制流分析來說太復雜了，將被跳過。 （時間）如何解決“功能...太復雜”錯誤

1425選項“-source-base-dir”（或屬性“com.a.SourcebaseDir”）應在處理cfml文件時設置將-source-base-dir設置為推薦

1501類路徑條目。 。 。不存在根據需要修改提供給Fortify的類路徑，以提供正確的類路徑

6001沒有文件被排除，因為-exclude選項指ding的文件模式[...]與任何文件不匹配此錯誤不會影響結果的準確性，但這可能意味著某些掃描的文件被意圖排除。

10002無法解析T-SQL [...]如何在Windows上掃描PL / SQL

12003假設Java源級別為1.8，因為沒有指ding。指ding在GUI中或使用-source或-jdk命令行選項使用的Java版本。

12004，12005 的PHP前端無法解析以下內容如何解決“PHP前端無法解析以下包含...”

12004，12006 ASP / VBscript前端無法解析以下內容/您可能需要定義一些虛擬根。如何解決“ASP / VBscript前端無法解決以下內容...”

12004,12010 Actionscript前端無法解析以下導入如何解決“Actionscript前端無法解析以下導入...”

12004紅寶石前端無法解決以下要求如何解決“紅寶石前端無法解決以下要求...”

12007您可能需要向SCA的-python-path參數添加一些參數請嘗試根據Fortify的建議配置-python-path參數。請參閱Fortify文檔中的SCA用戶指南2章：翻譯Python代碼

12014在.Net翻譯器執行期間發生翻譯錯誤這是Fortify 16.20掃描C＃6 / VB 14代碼的一個知識問題。請參閱以下博客文章以獲取有關如何處理的信息：Fortify 16.20“C＃6 / VB 14”中的“轉換器執行失敗”錯誤

12019以下對java函數的引用無法解析有關此錯誤，請參閱以下博客文章

12020未找到以下類，但提供了哪個jar文件可能包含該類的建議。修改提供給Fortify的類路徑以包含包含列出的類的jar文件。

12022課程[。 。 。]在類路徑中找不到，但是它在HPE Fortify提供的jar中找到。 。 。如果未設置，請顯式設置Java版本，并修改提供給Fortify的類路徑以包含指示的jar文件。如果Fortify拉入了正確的jar文件版本，那么這可以被認為不是一個問題，但是必須包含一個自述文件，解釋它們是正確的版本。

13556找不到實現該類型的lambda的方法。 。 。有關此錯誤，請參閱以下博客文章。