Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

能見度

Fortify軟件安全中心是一個集中管理存儲庫，為您的整個appsec測試程序提供可見性和報告。儀表板突出了您的應用程序的風險，并有助于審查，管理和跟蹤您的安全測試活動，優行修復工作并控制您的軟件組合。

“Fortify在上市之前幫助我們找到并修復了Vital Images醫liao影像軟件的安全漏洞。它直接負責改進我們軟件的安全狀態。“

- Tim Dawson，

Vital Image軟件工程總監

“Fortify通過分析我們的軟件安全架構和應用程序代碼，幫助我們建立安全的開發實踐。我們將繼續使用Fortify軟件在其整個生命周期內測試我們所有的軟件，以確保其始終保持安全。

- 盧克·波隆，銀行應用項目經理，

Parkeon

“在整個業務中的執行支持和購買對我們的成功至關重要。發展與安全共同努力，確保我們為客戶做正確的事情，我們的業務是關鍵。在開發過程中發現漏洞，并教育開發人員在交付工作時思考“安全”，正在改變我們的工作和交付方式。這次旅程是與安全合作關系的巨大團隊勝利，文化轉變為靈活的思維方式，為未來創造更好，可持續的過程。“

- CISO的Jennifer Cole，

ServiceMaster

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜態代碼分析器

強化SCA

我開始使用自定義擴展名＃4，源代碼檢測工具fortify sca，并希望自動化Fortify掃描。這是我第yi次真的不確定這應該是什么樣的擴展。它是一個源代碼控制分析器，所以感覺它應該是一個報告動作，如FxCop或NCover，但本機輸出格式“FPR”是一個二進制的blob，源代碼審計工具fortify價格表，顯然不適合任何ReportType枚舉選項。可以將其輸出為可部署，但在概念上聽起來錯誤。在某些情況下，我們可以直接將報告發送到中央服務器，因此如果您考慮將步驟部署到Fortify服務器，那么只需將其簡單地隨機部署就不完全不準確。

其他并發zheng在于，強化SCA有時可能非常緩慢，我幾乎可以將其作為推廣要求，如果我們可以找到一個很好的方式進行后臺安排，但是我沒有看到任何長時間運行的背景的例子任務在GitHub上的擴展。

這聽起來像一個報告行動的好候選人，但使用ZippedHtml選項。雖然該報表輸出二進制文件，您可以使用該文件的超鏈接將一個html文件寫入磁盤，并將其用作索引。兩者都將包含在zip文件中，并存在于報表中。如果FPR文件很大，hao將其保存在磁盤上，否則它不會保存在數據庫中。

還有一些額外的內置報告操作不在GitHub上;您可以通過反射器或其他東西找到或填寫源代碼申請表。

當然沒有背景行動，fortify，但有一個選擇可能是...

觀看促銷已完成事件的觸發器

在后臺運行報告使用BuildOutputs_AddOutput操作將報告添加到Build

添加促銷要求以驗證報告已完成

希望有所幫助。我會很好奇看到你想出了什么。

Fortify SCA產品組件及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

數據流分析引擎-----跟蹤，記錄并分析程序中的數據傳遞過程的安全問題

語義分析引擎-----分析程序中不安全的函數，方法的使用的安全問題

結構分析引擎-----分析程序上下文環境，源代碼審計工具fortify總代理，結構中的安全問題

控制流分析引擎-----分析程序特定時間，狀態下執行操作指令的安全問題

配置分析引擎

-----分析項目配置文件中的敏感信息和配置缺失的安全問題

特有的X-Tier?跟蹤qi-----跨躍項目的上下層次，貫穿程序來綜合分析問題

Secure

Coding

Rulepacks

?（安全編碼規則包）

Audit

Workbench（審查工作臺）

Custom

Rule

Editor

&

Custom

RuleWizard(規則自定義編輯器和向導)

DeveloperDesktop

(IDE

插件）

Fortify?SCA 分析安全漏洞的標準

OWASP top 2004/2007/2010/2013/2014(開放式Web應用程序安全項目)

2. PCI1.1/1.2/2.0/3.0(國際信用ka資料安全

技術PCI標準)

3. WASC24+2(Web應用安全聯合威脅分類)

4. NIST SP800-53Rev.4(美國與技術研究院)

5. FISMA(聯邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全漏洞詞典)