fortify价格表-苏州华克斯

Fortify审计界面概述

下图显示了“Auditing（审计）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下几个面板组成：

“Issues（问题）”面板

“Analysis Trace（分析跟踪）”面板

“Project Summary（项目摘要）”面板

“Source Code Viewer（源代码查看器）”面板

“Function（函数）”面板

“Issue Auditing（问题审计）”面板

“Issues（问题）”面板

使用 Issues（问题）面板，您可以对希望审计的问题进行分组和选择。该面板由下列元素组成：

“Filter Set（过滤器组）”下拉列表

“Folders（文件夹）”选项卡

Group by（分组方式）

“Search（搜索）”框

Fortify SCA 优势

1、 扫描快又准

? 在开发早期就捕获了大部分代码相关性问题；

? 识别并消除源代码、二进制代码或字节代码中的漏洞；

? 支持 27 种编程语言中 815 种的漏洞类别，并跨越超过 100 万个独立的 API；

?在 OWASP 1.2b 基准测验中，真实阳性率为100%，证明了高度的准确性。

2、CI/CD 管道中的安全自动化

? 识别和优先处理构成威胁的漏洞，快速降低风险；

? 与CI/CD 工具充分集成，包括 Jenkins， ALM Octane， Jira，源代码检测工具fortify价格表， Atlassian Bamboo， Azure DevOps， Eclipse 和 Microsoft Visual Studio 等；

? 实时审查扫描结果并获得访问建议，通过代码行导航更快地发现漏洞和与审计开展协作。

3、节约开发时间和成本

? 嵌入 SDLC 后，源代码审计工具fortify价格表，开发时间和成本平均降低 25%，fortify价格表，且早期修复漏洞成本比制作/发布后阶段低 30 倍；

? 发现漏洞数是原来的 2 倍，误报率降低 95%；（数据来源：《Micro Focus Fortify 2017 商业价值可持续交付》)

? 通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。

Fortify system命令执行检测

除了使用 DataflowSourceRule 、DataflowSinkRule 等规则来定义污点跟踪相关的属性外，Fortify还支持使用 CharacterizationRule 来定义污点跟踪相关的特性。

Fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗 structural tree，然后扫描的时候使用 Structural Analyzer 来解析 StructuralRule ，蕞后输出匹配的代码。

下面以一个简单的示例看看 structural tree 的结构，示例代码如下