Fortify SCA 2016ÊÇÒ»¿îרҵÓÃÀ´¼ìÑéÈí¼þÔ´Â밲ȫϵÊýµÄÊÖ»úÈí¼þ£¬Ðí¶à²»¿¿Æ×µÄÔ´´úÂëÈ«ÊDzض¾µÄ...ÎÒÕâ¶ù¸ø¸÷λ²úÉúȫа²×¿°æµÄFortify Sca£¬Èôó¼Ò¶¼ÄÜ°²ÐÄʹÓñðÈË·îÏ×µÄÔ´´úÂë¡£ÈÈÁÒ»¶Ó­Ãâ·ÑÏÂÔØ£¡

Èí¼þÌØÉ«

ɨÃèÒÇ·ÖÎö×÷Óãº

1£®ÓëÖÚ²»Í¬µÄÊý¾ÝÁ÷·ÖÎö·ÖÎö¼¼ÊõÐÔ£¬×·×Ù±»¸ÐȾµÄ£¬Òì³£µÄ¼üÈëÊý¾ÝÐÅÏ¢£¬Ö±ÖÁ¸ÃÊý¾ÝÐÅÏ¢±»²»°²È«Ó¦ÓõÄÕû¸ö¹ý³Ì£¬²¢³¬Ô½È«²¿ÊÖ»úÈí¼þµÄÿ¸ö²ã¼¶ºÍ¼ÆËã»úÓïÑԵĽçÏÞ¡£

2£®ÓëÖÚ²»Í¬µÄ´ÊÒå·ÖÎö¼¼ÊõÐÔ·¢¾õ±ãÓÚÔâµ½½ø¹¥µÄÓïÑÔ±í´ïº­Êý»òÊÇÈ«¹ý³Ì£¬²¢Á˽âËûÃÇÓ¦ÓõÄÇ°ºóÎÄ×ÔÈ»»·¾³£¬²¢±êÖ¾³öÓ¦ÓÃÌØÊ⺭Êý»òÊÇÈ«¹ý³Ì²úÉúµÄÈí¼þƽ̨µÄ°²È«Òþ»¼

3£®ÓëÖÚ²»Í¬µÄÁ´±íÅÅÐò·ÖÎö¼¼ÊõÐÔ¾«×¼µØ×·×ÙÒµÎñÁ÷³Ìʵ¼Ê²Ù×÷µÄ˳Ðò£¬·¢¾õÒò´úÂë½á¹¹²»¿Æѧ¶ø²úÉúµÄÊÖ»úÈí¼þ°²È«·çÏÕ¡£

4£®ÓëÖÚ²»Í¬µÄÅ䱸Á÷·ÖÎö¼¼ÊõÐÔ·ÖÎöÊÖ»úÈí¼þµÄÅäÖƺʹúÂëµÄ¹ØÁª£¬·¢¾õÔÚÊÖ»úÈí¼þÅ䱸ºÍ´úÂëÖм䣬Å䱸ÒÅʧ»òÊDz»Ò»Ö¶ø²úÉúµÄ°²È«·çÏÕ

5£®ÓëÖÚ²»Í¬µÄ´úÂë¹¹Ôì·ÖÎö¼¼ÊõÐÔ´Ó´úÂëµÄ¹¹Ôì²ãÃæ·ÖÎö´úÂ룬¼ø±ð´úÂë¹¹Ôì²»¿Æѧ¶ø²úÉúµÄ°²È«ÐÔȱµãºÍÄÑÌâ¡£

6£®×Ô¶¨°²È«ÐÔ´úÂë¹æÔò×÷Óá£

²ÆÎñÉó¼Æ×÷Óãº

1£®°²È«Â©¶´É¨Ãè½á¹ûµÄ¹éÄɺÍÄÑÌâÓÅÏÈÑ¡ÔñµÈ¼¶»®·Ö×÷Óá£

2£®ÍøÂ簲ȫÉó¼ÆÈ«×Ô¶¯µ¼º½¹¦ÄÜ

3£®°²È«ÎÊÌ⾫׼¶¨Î»ºÍÄÑÌâ´«ËÍÈ«¹ý³Ì×·×Ù×÷Óá£

4£®°²È«ÎÊÌâ²é¿´ºÍ¹ýÂÇ×÷Óá£

5£®°²È«ÎÊÌâ²ÆÎñÉó¼Æ½Y¹û£¬²ÆÎñÉó¼ÆÀàÐÍÇø·ÖºÍÄÑÌâÅÔ×¢×÷Óá£

6£®°²È«ÎÊÌâÐðÊöºÍÇ¿ÁÒÍƼöÐÞ²¹ÌáÒé¡£

²úÆ·ÌØÐÔ£º

1£®´Ó¸÷¸ö·½Ãæ·ÖÎöÈí¼þÔ´´úÂ룬ËÑË÷ÊÖ»úÈí¼þ°²È«Â©¶´£¬ÊÇÏֽ׶ÎÑ¡Ó÷ÖÎö¼¼ÊõÐԽ϶àµÄ£¬×îÄÜÈ«·½Î»²éÑé´úÂ밲ȫÎÊÌ⣬Æä²éÑé·½·¨¸÷×ÔΪ£ºÊý¾ÝÁ÷·ÖÎö£¬Á´±íÅÅÐò£¬´ÊÒ壬Å䱸Á÷ºÍ´úÂë¹¹Ôì

2£®ÊÇÏֽ׶ÎΨһµÄÄܳ¬Ô½ÊÖ»úÈí¼þ²»Ò»Ñù²ã¼¶ºÍ²»Ò»ÑùÓïÑÔ±í´ï½çÏ޵ľ²Ì¬Êý¾Ý·ÖÎö¼¼ÊõÐÔ£¬Äܸú×Ù¶¨Î»°²È«Â©¶´Òý½øµÄÈ«¹ý³Ì¡£

3£®°²È«ÐÔ´úÂë¹æÔò×îÈ«·½Î»£¬°²È«Â©¶´²éÑé×îÍêÈ«¡£Ïֽ׶ΰüº¬150¶àÖÖ¶àÑùÀàÐ͵ݲȫ©¶´£¬Æ䰲ȫÐÔ´úÂë¹æÔò¸ß´ï50000ºÃ¼¸Ìõ¡£¹æÔòƒÈÈÝÉæ¼°µ½ASP.NET, C/C , C#, ColdFusion,Java, JSP, PL/SQL, T-SQL, XML,VB.NET and other .NETµÈ¶àÓïÖÖ

4£®ÊÊÓöàÖÖ¶àÑù¹ú¼ÊÐÔÈí¼þƽ̨µÄ¹æ·¶£ºOWASP£¬Payment Card Industry (PCI) Compliance£¬Federal Information Security Management Act£¨FISMA£©Common Weakness Enumeration£¨CWE£©¡­.¡£

5£®ÊÊÓûìºÍÓïÑÔ±í´ïµÄ·ÖÎö£¬°üº¬ ASP.NET, C/C , C#, Java?, JSP, PL/SQL,T-SQL, VB.NET, XML and other .NET languages. Fortify SCA ÊÊÓà Windows?, Solaris?, Linux?, AIX? and Mac OS? X¡­.µÈ¶àÖÖ¶àÑùµçÄÔ²Ù×÷ϵͳ

6£®ÊÊÓÃ×Ô¶¨Èí¼þƽ̨´úÂë¹æÔò¡£

7£®¼¯³É»¯¿ª·¢Èí¼þ×ÔÈ»»·¾³£¨Microsoft Visual Studio, IBM RAD, and Eclipse.£©ºÍÈ«×Ô¶¯ÉÌÆ·´î½¨È«¹ý³Ì¡£

8£®¸ù¾ÝWeb²å¿Ú£¬ÄܶԹ«Ë¾ºÃ¼¸¸öÏîÄ¿¿ªÕ¹¼¯Öл¯µÄ°²È«ÐÔͳ¼Æ·ÖÎö£¬·ÖÎöºÍ¹ÜÀí·½·¨

Fortify SCA °²×¿°æÈçºÎʹÓÃ

°²×°ÐèÒªµÄÎĵµ

1£®Fortify SCAµÄ°²×°Îĵµ

2£®Fortify license(¼´°²×°ÊÚȨÎļþ)

3£®FortifyµÄ¹æÔòÔª¼þ¿â£¨¿É×îÐÂÏÂÔØȫеĹæÔò¿â£©

4£®Òª°²×°Èí¼þµÄIDE £¨±ÈÈçeclispe3.2,3.3£»VS2003£¬2005£»RAD7£»RSD7£©

ÔÚwindowsÉÏ°²×°

Ë«»÷Êó±ê°²×°¿âÖеÄFortify-360-2[1].0-Analyzers_and_Apps-Windows-x86.exe¾Í¿ÉÒÔ°²×°

ÌôÑ¡ Fortify¸øÓèµÄÊÚȨÎļþËùÊô;¾¶(¼´°²×°°üÁ˵Äfotify_ruleÎļþ¼ÐÃû³Æ£¬¸ÃÎļþ¼ÐÃû³Æµ×ÏÂfortify.license)£¬µãһϡ®NEXT¡¯°´¼ü

ÌôÑ¡ Ïà¶ÔÓ¦µÄ°²×°Í¾¾¶£¬µãһϡ®NEXT¡¯°´¼ü

ÌôÑ¡ Ïà¶ÔÓ¦µÄ²¿¼þ¿ªÕ¹°²×°,ÔÚÕâÀïÒ»¶¨Òª×¢Ò⣬fortifyĬÈÏÉèÖò»°²×°IDEÈí¼þ£¬¼ÙÈç±ØÐë°²×°Ïà¶ÔÓ¦µÄIDEÈí¼þ£¬ÈçÏÂͼËùʾ£ºÔÚÕâÀïÎÒÑ¡ÔñÁ˸ù¾Ýeclipse3.x£¬VS2005µÄÈí¼þ(ÌôÑ¡ °²×°VSµÄÈí¼þÒÔÇ°£¬µÃ×îÏÈ°²×°VSµÄIDE),Ëæºóµãһϡ®NEXT¡¯°´¼ü

ÔÙµãһϡ®NEXT¡¯°´¼ü¾Í¿ÉÒÔ½øÐа²×°

¼ÓÉ϶ÔÓ¦µÄ¹æÔò¿â£¬¿ÉÁ¢¼´Á¬½ÓÍøÂçÃâ·ÑÏÂÔØȫеĹæÔò¿â£¬»òÕß½«°²×°°üÁ˵Äfotify_rule

Îļþ¼ÐÃû³ÆÏÂrules_ZH.rar½âѹËõ³Éfortify°²×°ÎļþĿ¼ÏµÄCore\config\rules²¿Î»

°²×°½øÐкó°Ñʱ¼ä¸ñʽ¸ÄΪ2008Äê,¼´¿ÉÒ»ÇÐÕý³£Ó¦ÓÃ

±ðµÄϵͳÈí¼þÉÏ°²×°ÎҾͺÜÉÙÊÕÁË£¬ÎÒÕâ¶ùÒ²±£Ö¤ÁË°²×°ÊµÀý½Ì³ÌµÄ£¬µãÒ»ÏÂ×ÔÖ÷Ãâ·ÑÏÂÔز鿴¡£

Fortify SCA¾²Ì¬Êý¾Ý·ÖÎö»ù±¾Ô­Àí

Fortify SCA¾²Ì¬Êý¾Ý·ÖÎö·ÖÁ½¸ö½×¶Î£º

1.Translation:

°Ñ¸÷ÖÖ¸÷ÑùÓïÑÔ±í´ïµÄÔ´´úÂë±äΪһÖÖͳһµÄÕýÖмäÓïÑÔ±í´ï´úÂë¡£

2.Analysis:

ÒÀ¾ÝÕýÖмä´úÂë·ÖÎö´úÂëϵͳ©¶´£¬²¢µÃµ½»ã±¨¡£

FortifyÓкܶà¸öÓïÑÔת»»Æ÷£¬µ«¹Ø¼üµÄ¾²Ì¬Êý¾Ý·ÖÎöÄ£¿é½öÓÐÒ»Ìס£

¸øÓèÈ«·½Î»ÐÂÎÅ×ÊѶµÄ·ÖÎö½Y¹û

SCA½«·ÖÎö½Y¹û£¬Í¨¹ýAudit WorkBench¸øÓ谲ȫ©¶´ÓйØÐÅÏ¢°üÀ¨ÄÑÌâ¸ú×ÙÁ÷³Ì±í£¬ÆôÓùØϵͼÀ´°ïÖúÄÑÌâ·ÖÎö¼°È·¶¨£¬²¢½«¼ì²é½Y¹û×ö¼Í¼¡£¸øÓ谲ȫ©¶´½âÊÍ˵Ã÷¼°»Ö¸´ÌáÒ飬ÒÀ¾ßÌ忪·¢Éè¼ÆµÄÔ´´úÂë×öΪ°²È«ÎÊÌâ±íÃ÷£¬ÒÔÌáÉýÒ׶ÁÐÔ£¬¼Ó¿ìʹÓÃÈ˶ÔÏÖÏóµÄÈÏʶ¼°ÐÞ²¹¡£

¶àÑù»¯µÄ±í¸ñ

SCAÓÐ×ŶàÑù»¯µÄ±í¸ñÑù±¾£¬¸øÓè³ä×ãµÄÐÂÎÅ×ÊѶ¡£±í¸ñƒÈÈÝ°üº¬¶ÔÓ¦µÄ·ÖÎöÊý¾Ýͳ¼Æ£¬ÏêϸÄÑÌâ±íÊöÓëÐÞ²¹ÌáÒ飬·ÖÎö¸ú×Ù²½ÖèÓëÔ´´úÂ뾫²ÊƬ¶Î£¬¸ü·Ç³£ÈÝÒ×ÔĶÁÎÄÕÂÓë·ÖÎö¡£¶øÇҿɷdz£ÈÝÒ×Ôö¼Ó¶©ÖÆ»¯µÄ±¨±íÄ£°å¡£