Fortify SCA 2016ÊÇÒ»¿îרҵÓÃÀ´¼ìÑéÈí¼þÔ´Â밲ȫϵÊýµÄÊÖ»úÈí¼þ£¬Ðí¶à²»¿¿Æ×µÄÔ´´úÂëÈ«ÊDzض¾µÄ...ÎÒÕâ¶ù¸ø¸÷λ²úÉúȫа²×¿°æµÄFortify Sca£¬Èôó¼Ò¶¼ÄÜ°²ÐÄʹÓñðÈË·îÏ×µÄÔ´´úÂë¡£ÈÈÁÒ»¶ÓÃâ·ÑÏÂÔØ£¡
ɨÃèÒÇ·ÖÎö×÷Óãº
1£®ÓëÖÚ²»Í¬µÄÊý¾ÝÁ÷·ÖÎö·ÖÎö¼¼ÊõÐÔ£¬×·×Ù±»¸ÐȾµÄ£¬Òì³£µÄ¼üÈëÊý¾ÝÐÅÏ¢£¬Ö±ÖÁ¸ÃÊý¾ÝÐÅÏ¢±»²»°²È«Ó¦ÓõÄÕû¸ö¹ý³Ì£¬²¢³¬Ô½È«²¿ÊÖ»úÈí¼þµÄÿ¸ö²ã¼¶ºÍ¼ÆËã»úÓïÑԵĽçÏÞ¡£
2£®ÓëÖÚ²»Í¬µÄ´ÊÒå·ÖÎö¼¼ÊõÐÔ·¢¾õ±ãÓÚÔâµ½½ø¹¥µÄÓïÑÔ±í´ïºÊý»òÊÇÈ«¹ý³Ì£¬²¢Á˽âËûÃÇÓ¦ÓõÄÇ°ºóÎÄ×ÔÈ»»·¾³£¬²¢±êÖ¾³öÓ¦ÓÃÌØÊâºÊý»òÊÇÈ«¹ý³Ì²úÉúµÄÈí¼þƽ̨µÄ°²È«Òþ»¼
3£®ÓëÖÚ²»Í¬µÄÁ´±íÅÅÐò·ÖÎö¼¼ÊõÐÔ¾«×¼µØ×·×ÙÒµÎñÁ÷³Ìʵ¼Ê²Ù×÷µÄ˳Ðò£¬·¢¾õÒò´úÂë½á¹¹²»¿Æѧ¶ø²úÉúµÄÊÖ»úÈí¼þ°²È«·çÏÕ¡£
4£®ÓëÖÚ²»Í¬µÄÅ䱸Á÷·ÖÎö¼¼ÊõÐÔ·ÖÎöÊÖ»úÈí¼þµÄÅäÖƺʹúÂëµÄ¹ØÁª£¬·¢¾õÔÚÊÖ»úÈí¼þÅ䱸ºÍ´úÂëÖм䣬Å䱸ÒÅʧ»òÊDz»Ò»Ö¶ø²úÉúµÄ°²È«·çÏÕ
5£®ÓëÖÚ²»Í¬µÄ´úÂë¹¹Ôì·ÖÎö¼¼ÊõÐÔ´Ó´úÂëµÄ¹¹Ôì²ãÃæ·ÖÎö´úÂ룬¼ø±ð´úÂë¹¹Ôì²»¿Æѧ¶ø²úÉúµÄ°²È«ÐÔȱµãºÍÄÑÌâ¡£
6£®×Ô¶¨°²È«ÐÔ´úÂë¹æÔò×÷Óá£
²ÆÎñÉó¼Æ×÷Óãº
1£®°²È«Â©¶´É¨Ãè½á¹ûµÄ¹éÄɺÍÄÑÌâÓÅÏÈÑ¡ÔñµÈ¼¶»®·Ö×÷Óá£
2£®ÍøÂ簲ȫÉó¼ÆÈ«×Ô¶¯µ¼º½¹¦ÄÜ
3£®°²È«ÎÊÌ⾫׼¶¨Î»ºÍÄÑÌâ´«ËÍÈ«¹ý³Ì×·×Ù×÷Óá£
4£®°²È«ÎÊÌâ²é¿´ºÍ¹ýÂÇ×÷Óá£
5£®°²È«ÎÊÌâ²ÆÎñÉó¼Æ½Y¹û£¬²ÆÎñÉó¼ÆÀàÐÍÇø·ÖºÍÄÑÌâÅÔ×¢×÷Óá£
6£®°²È«ÎÊÌâÐðÊöºÍÇ¿ÁÒÍƼöÐÞ²¹ÌáÒé¡£
²úÆ·ÌØÐÔ£º
1£®´Ó¸÷¸ö·½Ãæ·ÖÎöÈí¼þÔ´´úÂ룬ËÑË÷ÊÖ»úÈí¼þ°²È«Â©¶´£¬ÊÇÏֽ׶ÎÑ¡Ó÷ÖÎö¼¼ÊõÐԽ϶àµÄ£¬×îÄÜÈ«·½Î»²éÑé´úÂ밲ȫÎÊÌ⣬Æä²éÑé·½·¨¸÷×ÔΪ£ºÊý¾ÝÁ÷·ÖÎö£¬Á´±íÅÅÐò£¬´ÊÒ壬Å䱸Á÷ºÍ´úÂë¹¹Ôì
2£®ÊÇÏֽ׶ÎΨһµÄÄܳ¬Ô½ÊÖ»úÈí¼þ²»Ò»Ñù²ã¼¶ºÍ²»Ò»ÑùÓïÑÔ±í´ï½çÏ޵ľ²Ì¬Êý¾Ý·ÖÎö¼¼ÊõÐÔ£¬Äܸú×Ù¶¨Î»°²È«Â©¶´Òý½øµÄÈ«¹ý³Ì¡£
3£®°²È«ÐÔ´úÂë¹æÔò×îÈ«·½Î»£¬°²È«Â©¶´²éÑé×îÍêÈ«¡£Ïֽ׶ΰüº¬150¶àÖÖ¶àÑùÀàÐ͵ݲȫ©¶´£¬Æ䰲ȫÐÔ´úÂë¹æÔò¸ß´ï50000ºÃ¼¸Ìõ¡£¹æÔòƒÈÈÝÉæ¼°µ½ASP.NET, C/C , C#, ColdFusion,Java, JSP, PL/SQL, T-SQL, XML,VB.NET and other .NETµÈ¶àÓïÖÖ
4£®ÊÊÓöàÖÖ¶àÑù¹ú¼ÊÐÔÈí¼þƽ̨µÄ¹æ·¶£ºOWASP£¬Payment Card Industry (PCI) Compliance£¬Federal Information Security Management Act£¨FISMA£©Common Weakness Enumeration£¨CWE£©¡.¡£
5£®ÊÊÓûìºÍÓïÑÔ±í´ïµÄ·ÖÎö£¬°üº¬ ASP.NET, C/C , C#, Java?, JSP, PL/SQL,T-SQL, VB.NET, XML and other .NET languages. Fortify SCA ÊÊÓà Windows?, Solaris?, Linux?, AIX? and Mac OS? X¡.µÈ¶àÖÖ¶àÑùµçÄÔ²Ù×÷ϵͳ
6£®ÊÊÓÃ×Ô¶¨Èí¼þƽ̨´úÂë¹æÔò¡£
7£®¼¯³É»¯¿ª·¢Èí¼þ×ÔÈ»»·¾³£¨Microsoft Visual Studio, IBM RAD, and Eclipse.£©ºÍÈ«×Ô¶¯ÉÌÆ·´î½¨È«¹ý³Ì¡£
8£®¸ù¾ÝWeb²å¿Ú£¬ÄܶԹ«Ë¾ºÃ¼¸¸öÏîÄ¿¿ªÕ¹¼¯Öл¯µÄ°²È«ÐÔͳ¼Æ·ÖÎö£¬·ÖÎöºÍ¹ÜÀí·½·¨
Fortify SCA °²×¿°æÈçºÎʹÓÃ
°²×°ÐèÒªµÄÎĵµ
1£®Fortify SCAµÄ°²×°Îĵµ
2£®Fortify license(¼´°²×°ÊÚȨÎļþ)
3£®FortifyµÄ¹æÔòÔª¼þ¿â£¨¿É×îÐÂÏÂÔØȫеĹæÔò¿â£©
4£®Òª°²×°Èí¼þµÄIDE £¨±ÈÈçeclispe3.2,3.3£»VS2003£¬2005£»RAD7£»RSD7£©
ÔÚwindowsÉÏ°²×°
Ë«»÷Êó±ê°²×°¿âÖеÄFortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe¾Í¿ÉÒÔ°²×°
ÌôÑ¡ Fortify¸øÓèµÄÊÚȨÎļþËùÊô;¾¶(¼´°²×°°üÁ˵Äfotify_ruleÎļþ¼ÐÃû³Æ£¬¸ÃÎļþ¼ÐÃû³Æµ×ÏÂfortify.license)£¬µãһϡ®NEXT¡¯°´¼ü
ÌôÑ¡ Ïà¶ÔÓ¦µÄ°²×°Í¾¾¶£¬µãһϡ®NEXT¡¯°´¼ü
ÌôÑ¡ Ïà¶ÔÓ¦µÄ²¿¼þ¿ªÕ¹°²×°,ÔÚÕâÀïÒ»¶¨Òª×¢Ò⣬fortifyĬÈÏÉèÖò»°²×°IDEÈí¼þ£¬¼ÙÈç±ØÐë°²×°Ïà¶ÔÓ¦µÄIDEÈí¼þ£¬ÈçÏÂͼËùʾ£ºÔÚÕâÀïÎÒÑ¡ÔñÁ˸ù¾Ýeclipse3.x£¬VS2005µÄÈí¼þ(ÌôÑ¡ °²×°VSµÄÈí¼þÒÔÇ°£¬µÃ×îÏÈ°²×°VSµÄIDE),Ëæºóµãһϡ®NEXT¡¯°´¼ü
ÔÙµãһϡ®NEXT¡¯°´¼ü¾Í¿ÉÒÔ½øÐа²×°
¼ÓÉ϶ÔÓ¦µÄ¹æÔò¿â£¬¿ÉÁ¢¼´Á¬½ÓÍøÂçÃâ·ÑÏÂÔØȫеĹæÔò¿â£¬»òÕß½«°²×°°üÁ˵Äfotify_rule
Îļþ¼ÐÃû³ÆÏÂrules_ZH.rar½âѹËõ³Éfortify°²×°ÎļþĿ¼ÏµÄCore\config\rules²¿Î»
°²×°½øÐкó°Ñʱ¼ä¸ñʽ¸ÄΪ2008Äê,¼´¿ÉÒ»ÇÐÕý³£Ó¦ÓÃ
±ðµÄϵͳÈí¼þÉÏ°²×°ÎҾͺÜÉÙÊÕÁË£¬ÎÒÕâ¶ùÒ²±£Ö¤ÁË°²×°ÊµÀý½Ì³ÌµÄ£¬µãÒ»ÏÂ×ÔÖ÷Ãâ·ÑÏÂÔز鿴¡£
Fortify SCA¾²Ì¬Êý¾Ý·ÖÎö»ù±¾ÔÀí
Fortify SCA¾²Ì¬Êý¾Ý·ÖÎö·ÖÁ½¸ö½×¶Î£º
1.Translation:
°Ñ¸÷ÖÖ¸÷ÑùÓïÑÔ±í´ïµÄÔ´´úÂë±äΪһÖÖͳһµÄÕýÖмäÓïÑÔ±í´ï´úÂë¡£
2.Analysis:
ÒÀ¾ÝÕýÖмä´úÂë·ÖÎö´úÂëϵͳ©¶´£¬²¢µÃµ½»ã±¨¡£
FortifyÓкܶà¸öÓïÑÔת»»Æ÷£¬µ«¹Ø¼üµÄ¾²Ì¬Êý¾Ý·ÖÎöÄ£¿é½öÓÐÒ»Ìס£
¸øÓèÈ«·½Î»ÐÂÎÅ×ÊѶµÄ·ÖÎö½Y¹û
SCA½«·ÖÎö½Y¹û£¬Í¨¹ýAudit WorkBench¸øÓ谲ȫ©¶´ÓйØÐÅÏ¢°üÀ¨ÄÑÌâ¸ú×ÙÁ÷³Ì±í£¬ÆôÓùØϵͼÀ´°ïÖúÄÑÌâ·ÖÎö¼°È·¶¨£¬²¢½«¼ì²é½Y¹û×ö¼Í¼¡£¸øÓ谲ȫ©¶´½âÊÍ˵Ã÷¼°»Ö¸´ÌáÒ飬ÒÀ¾ßÌ忪·¢Éè¼ÆµÄÔ´´úÂë×öΪ°²È«ÎÊÌâ±íÃ÷£¬ÒÔÌáÉýÒ׶ÁÐÔ£¬¼Ó¿ìʹÓÃÈ˶ÔÏÖÏóµÄÈÏʶ¼°ÐÞ²¹¡£
¶àÑù»¯µÄ±í¸ñ
SCAÓÐ×ŶàÑù»¯µÄ±í¸ñÑù±¾£¬¸øÓè³ä×ãµÄÐÂÎÅ×ÊѶ¡£±í¸ñƒÈÈÝ°üº¬¶ÔÓ¦µÄ·ÖÎöÊý¾Ýͳ¼Æ£¬ÏêϸÄÑÌâ±íÊöÓëÐÞ²¹ÌáÒ飬·ÖÎö¸ú×Ù²½ÖèÓëÔ´´úÂ뾫²ÊƬ¶Î£¬¸ü·Ç³£ÈÝÒ×ÔĶÁÎÄÕÂÓë·ÖÎö¡£¶øÇҿɷdz£ÈÝÒ×Ôö¼Ó¶©ÖÆ»¯µÄ±¨±íÄ£°å¡£
´úÂë±à¼Æ÷ÊÇ¿ª·¢ÈËÔ±±Ø±¸µÄÈí¼þ£¬ÊÇÒ»ÖÖʵÓõıà¼Æ÷»ò¿ª·¢¹¤¾ß£¬¿ÉÒÔÏÔÖøÌá¸ß¿ª·¢ÈËÔ±µÄ¿ª·¢Ð§ÂÊ¡£¾¡¹Ü±à¼Æ÷²»ÊǼ¼ÊõÈËÔ±£¬µ«ËûÃÇÈÔÈ»¶ÔʲôÊÇ´úÂë±à¼Æ÷ÒÔ¼°Ê²Ã´ÊÇÓÐÓõĴúÂë±à¼Æ÷ÓиüºÃµÄÀí½â¡£ÏÂÃæÊDZà¼Æ÷ÊÕ¼¯µÄһЩ×î³£Óõij¬Ãâ·Ñ´úÂë±à¼Æ÷£¬ÍƼö¸øÄú¡£¶àÌØÈí¼þרÌâΪÄúÌṩ´úÂë±à¼Æ÷,´úÂë±à¼Æ÷ÅÅÐаñ,html´úÂëÔÚÏß±à¼Æ÷¡£¶àÌØÈí¼þÕ¾Ö»ÌṩÂÌÉ«¡¢ÎÞ¶¾¡¢ÎÞ²å¼þ¡¢ÎÞľÂíµÄ´¿ÂÌÉ«Èí¼þÏÂÔØ¡£
¶àÌØÈí¼þרÌâΪÄúÌṩ´úÂë¶Ô±È¹¤¾ß,Ò×ÓïÑÔ´úÂë¶Ô±È¹¤¾ß,´úÂë¶Ô±È;°²×¿Æ»¹û°æÈí¼þappÒ»Ó¦¾ãÈ«¡£¶àÌØÈí¼þÕ¾Ö»ÌṩÂÌÉ«¡¢ÎÞ¶¾¡¢ÎÞ²å¼þ¡¢ÎÞľÂíµÄ´¿ÂÌÉ«¹¤¾ßÏÂÔØ
¶àÌØÊÖÓÎרÌâΪÄúÌṩºôÎü¼à²âapp,ºôÎüƵÂʲâÊÔapp¡£°²×¿Æ»¹û°æÒ»Ó¦¾ãÈ«,ÕÒºôÎü¼à²âapp¾ÍÀ´¶àÌØÈí¼þÕ¾ÏÂÔØ!
ÊÓƵת´úÂëÈí¼þÊÇÒ»¿î¼òµ¥Ò×ÓõÄÊÓƵתÂ빤¾ß£¬Ö§³ÖÒ»¼üת»»ÊÓƵ¸ñʽ£¬ÌṩËùÓÐÖ÷Á÷ÊÓƵ¸ñʽת»»£¬»¹ÌṩÊÓƵ±à¼¹¦ÄÜ£¬Äܹ»¼Óˮӡ¡¢¼ô¼µÈ£¬Ê¹Ó÷½±ã¡£
¶àÌØÈí¼þ԰ΪÄúÕûÀíÁ˶à¿î´úÂë±à³ÌÈí¼þÈí¼þ£¬ÔÚ¶àÌØÄúÄÜÏÂÔضà¿îÕý¹æµÄ¡¢ÎÞ¶¾Èí¼þ£¬ÆäÖÐÓÐѧϰ±à³Ì¡¢ÕæÔ´Âë¡¢¿ÉÐÅÍøÕ¾µÈApp£¬ÕÒÈí¼þÒ»¶¨ÒªÕÒÕý¹æƽ̨£¬¶àÌØÿһ¿îÈí¼þ¶¼½øÐвéɱ£¬È·±£Èí¼þ°²È«£¬ÏëÒªÕÒ´úÂë±à³ÌÈí¼þÓ¦Ó㬸ϽôÀ´¶àÌØÈí¼þÔ°¿´¿´°É¡£