FortifySCA報表及測試結果管理功能要求

·

能夠針對客戶的個性化需求，勾選報表模板中的內容，并且可以自定義報表模板。包含加入用戶企業的LOGO。

·

提供多種格式的檢測報告，如：PDF、Xml，Word等。

·

提供將測試結果與OWASP

2007/2010/2013 TOP10漏洞的比較性報表。

·

能夠編輯以往有效成功的修復經驗描述在系統中，并可以整合在報告中輸出，共享漏洞修復的經驗。

·

測試結果可以以文件形式保存，無需數據庫支持，減少部署時間和成本，也可以將測試結果作為測試資產集中存儲在商用的數據庫中，以便測試資產管理和備份工作。

·

對企業中多個項目的多次測試結果進行統一管理，能夠按項目或項目開發語言等多種方式查看測試結果的發展趨勢，幫助管理人員定制安全策略。

Fortify SCA產品組件及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

數據流分析引擎-----跟蹤,記錄并分析程序中的數據傳遞過程的安全問題

語義分析引擎-----分析程序中不安全的函數,方法的使用的安全問題

結構分析引擎-----分析程序上下文環境,結構中的安全問題

控制流分析引擎-----分析程序特定時間,狀態下執行操作指令的安全問題

配置分析引擎

-----分析項目配置文件中的敏感信息和配置缺失的安全問題

特有的X-Tier?跟蹤qi-----跨躍項目的上下層次,貫穿程序來綜合分析問題

Secure

Coding

Rulepacks

?（安全編碼規則包）

Audit

Workbench（審查工作臺）

Custom

Rule

Editor

&

Custom

RuleWizard(規則自定義編輯器和向導)

DeveloperDesktop

(IDE

插件）

FortifySCA 分析安全漏洞的標準

OWASP top 2004/2007/2010/2013/2014(開放式Web應用程序安全項目)

2. PCI1.1/1.2/2.0/3.0(國際信用ka資料安全

技術PCI標準)

3. WASC24+2(Web應用安全聯合威脅分類)

4. NIST SP800-53Rev.4(美國與技術研究院)

5. FISMA(聯邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全漏洞詞典)

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜態代碼分析器

Fortify SCA 5.0提供定制

為了幫助企業客戶定制其應用程序安全規則和部署，Fortify已將規則開發和管理集成到Fortify SCA 5.0的審核工作臺中，為開發人員通過管理安全開發的安全規則生成，編輯和排序提供了前所未有的靈活性。其中一些功能包括：

- 新的規則寫入向導 - 用戶可以快速創建自定義規則

回答一系列旨在確定代碼中的問題的問題

這取決于唯yi的編碼標準或專有庫。

- API ScanView - Fortify SCA 5.0提供了一個用于呈現的界面

項目中使用的各種API，并突出顯示未涵蓋的API

通過Fortify安全編碼規則包。從這個界面，用戶可以

輕松創建相關API的新的自定義規則。

- Rulepack Manager - Fortify用于管理Rulepacks的界面

用戶可以快速確定Rulepack的內容并允許它們

輕松過濾，排序和編輯規則。

- 規則編輯器 - 對于用戶，Fortify的XML編輯器提供語法

突出顯示，代碼完成，驗證和內聯錯誤報告

適用于自定義規則。

Fortify SCA 5.0啟用協作

全球企業需要跨開發團隊的連接，能夠在全球和全天候進行協作。 Fortify SCA 5.0為安全人員和應用程序開發人員提供了在不同視圖中處理他們的項目的方法，允許兩個組在不相互影響的情況下執行其功能。此外，此版本是第yi個應用程序安全解決方案，包括一系列跟蹤和審核工具，可幫助開發人員在同一個項目上工作，而不管位置如何。后，Fortify SCA 5.0集成了強大的報告功能，團隊領導可以用來展示整個企業的其他利益相關者的進步。具體協作功能包括：

- 協作審核 - 團隊成員現在可以發布一個

源代碼掃描到基于Web的應用程序進行審查，評論

開啟和分類問題。

- 開發者模式 - 以開發人員為中心的模式著重于眾所周知

質量問題，如空指針解引用，內存泄漏和

更多 - 以非常低的假陽性率，精簡安全

編碼過程。開發人員可以專注于重要的項目

他們，而安全人士可以看到所有潛在的問題

根據需要將他們帶到開發商。

- 審計歷史 - 在一個問題上執行的每個評論和行動

記錄在時間軸上，以及時間戳和用戶名

執行行動的人

- 手動審核整合 - 手動代碼審查期間發現的問題

或其他形式的安全測試可以集成到審計

工作臺。現在所有的代碼級安全問題都可以合并在一個

強化SCA分析。

- 優先級排序 - 用戶可以根據自己的需求分類問題

組織的命名，創建自定義問題文件夾和創建

過濾器自動填充文件夾中的特定類型的問題，

或者完全隱藏某些問題。

- 新的IDE支持 - Fortify SCA現在支持RSA 7，RAD 7和RAD 6。