Fortify SCA v20.1.1官方版

Fortify SCA是一款代码审计工具，也做白盒测试工具用，内置的分析引擎、安全编码规则包、审查工作台、规则自定义编辑器和向导、IDE 插件五部分组成专门，用来检测源代码中的漏洞！

功能介绍

　　审计功能

　　1、安全问题审计结果、审计类别划分和问题旁注功能。

　　2、安全审计自动导航功能

　　3、安全漏洞扫描结果的汇总和问题优先级别划分功能。

　　4、安全问题定位和问题传递过程跟踪功能。

　　5、安全问题查询和过滤功能。

　　6、安全问题描述和推荐修复建议。

　　扫描分析功能

　　1、独特的控制流分析技术精确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。

　　2、独特的配置流分析技术分析软件的配置和代码的关系，发现在软件配置和代码之间，配置丢失或者不一致而带来的安全隐患

　　3、独特的数据流分析技术，跟踪被感染的、可疑的输入数据，直到该数据被不安全使用的全过程，并跨越整个软件的各个层次和编程语言的边界。

　　4、独特的语义分析技术发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，并标识出使用特定函数或者过程带来的软件安全的隐患

　　5、独特的代码结构分析技术从代码的结构方面分析代码，识别代码结构不合理而带来的安全弱点和问题。

　　6、自定义安全代码规则功能。

软件特色

　　1、扫描引擎介绍：

　　主要包含的五大分析引擎：

　　数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生的安全问题。

　　语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

　　结构引擎：分析程序上下文环境，结构中的安全问题。

　　控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

　　配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

　　特有的X-Tier跟踪器：跨跃项目的上下层次，贯穿程序来综合分析问题

　　2、工作原理：首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，CIC++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree将其源代码之间的调用关系，执行环境，上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST，匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件，用AWB打开查看。

　　3、Fortify SCA扫描的结果如下：

　　结果文件为.FPR文件，包括详细的漏洞信息：漏洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明及修复建议等。

　　4、能够扫描的安全漏洞种类有：

　　可以扫描出约350种漏洞，将所有安全漏洞整理分类，根据开发语言分项目，再细分为8个大类，约350个子类。

　　5、支持混合语言的分析，包括ASP、.NET、C/C++、C#、Java、 JSP；支持Windows、Linux、Mac OS等多种操作系统。

　　6、支持自定义软件安全代码规则。

　　7、集成软件开发环境（Microsoft Visual Studio, IBM RAD, and Eclipse.）和自动产品构建过程。