HP Fortify SCA产品介绍

Ø  产品概述

HP Fortify SCA是惠普企业安全推出的软件应用安全整体解决方案--Fortify Software Security Center的静态代码分析测试工具。SCA用于分析应用程序的源代码是否存在安全漏洞和质量问题。SCA通过分析应用程序可能会执行的所有路径，能够从源代码上识别软件的漏洞。它的优秀特性使其可以在更短的时间内审查更多的代码，并可以帮助开发者花费更少的精力来确定问题和解决问题。

1) 业界最完整的静态代码分析器

HP Fortify SCA 在发现和分析漏洞方面是最全面的。SCA的分析引擎和已获得专利的X-Tier™数据流分析器在一个其它技术无法到达的深度对问题进行广泛检测。SCA的分析引擎以最大和最全面的安全编码规则为基础，该规则中的漏洞类别达到600多种，并且 HP Fortify的安全专家们还在不断的更新这些规则。支持23种开发语言ABAP、ASP.NET、C,C++、C#、Classic ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJAX、JSP、Objective C、Swift、PL/SQL、PHP、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTML、Ruby业界最多。业界率先支持手机移动应用开发语言的测试。支持所有主流操作系统如Windows, Linux, Unix, HP-Unix, AIX, Mac OS和 Sun Solaris等。

2) 在确认安全漏洞上的无与伦比的准确性

HP Fortify SCA 在提供准确的结果方面相当的优异。由于其成熟的引擎技术和精确的安全编码规则，故其以非常低的误报率对问题进行排名和分类。安全编码规则可以自动更新到先进的、切合时宜的能准确地识别漏洞的安全专业知识。

3) 市场的绝对领导地位

HP Fortify SCA无论全球范围内还是国内都拥有最大的市场份额和最高的用户口碑，多次荣获全球著名的软件安全大奖，包括Jolt、CODiE、InforWord、SC Magazine等等。从产品诞生起一直在全球最具权威的IT研究咨询机构Gartner研究报告中位于领导者(leaders)地位。

最新的针对全球应用安全测试产品市场的Gartner研究报告魔力象限图如下：

4)  产品架构及设计原则

HP Fortify SCA主要包含的五大分析引擎：

数据流引擎：跟踪, 记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数, 方法的使用的安全问题。

结构引擎：分析程序上下文环境, 结构中的安全问题。

控制流引擎：分析程序特定时间, 状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

特有的X-Tier™跟踪器：跨跃项目的上下层次, 贯穿程序来综合分析问题

Ø  产品功能说明

1)  产品的易用性

HP Fortify SCA界面友好，安装配置非常简单，易操作，用户很容易上手。测试结果生成特有的FPR文件，无需数据库支持。用户只需选择被测项目，SCA将自动识别被测试的源代码类型，自动配置相应的参数和扫描规则库，无需用户做更多的操作即可启动测试扫描。

2)  扫描分析和审计功能

HP Fortify SCA内置五大分析引擎，提供强大的代码分析能力，通过数据流分析引擎，语义分析引擎，结构分析引擎，控制流分析引擎，配置分析引擎和特有的X-Tier跟踪器从不同方面多维度的分析代码中存在的安全漏洞和质量问题。可以支持Web应用的三层框架多种语言整合在一起测试。并且对安全漏洞扫描结果进行汇总，并按照问题的严重性和可能性进行级别的合理划分。如Critical，High，Medium，Low四个级别。用户能够根据企业自身需要来调整和修改问题的默认分级策略，方便审计。并且提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。

HP Fortify SCA可以迅速、准确定位某一特定安全漏洞所在的源代码行，对问题产生的整个过程进行跟踪，并能以图形化的形式展现。

HP Fortify SCA可以对扫描结果设置几十种过滤条件，如可以设置按照8大类，500多个小类，文件名，方法名，漏洞优先级别，各种国际标准如PCI、OWASP、CWE等等，提供非常丰富的过滤条件。

通过设置过滤条件后，还可以输出为模板，提供给其他项目使用，大大地节省了时间和工作量，提供了效率，如下图点击Export即可将当前所有配置导出为一个XML文档，作为模板。

HP Fortify SCA可以针对客户的个性化需求，勾选报表模板中的内容，生成符合用户需要的报告。生成报告时，仍然可以在完成过滤的基础上，对报告内容继续设置条件，实现报告的自定义化。提供多种格式的检测报告，如：PDF、Xml，Word等。

HP Fortify SCA可以生成内容详尽，专业易懂的全中文测试结果分析报告

其中包含了目前危害最大和最常见的代码安全和质量问题，如下：

跨站脚本攻击、SQL注入、资源泄漏、命令注入、路径操纵、过程控制、参数操纵、私密信息泄露、缓冲区溢出漏洞、系统信息泄漏漏洞、资源竞争问题、跨站请求伪造、弱加密、不安全的随机数明文密码存储配置文件、密码管理:硬编码密码、日志伪造、XML 注入、XPath 注入、LDAP注入、未释放的资源、丢失的安全配置、错误的日志处理、常被误用的函数、错误的异常处理、空指针引用、死代码、拒绝服务、未使用的变量、未初始化变量、格式化字符错误、J2EE 不好的实践、两次释放指针

Ø  产品性能

HP Fortify SCA采用了独有的多核编程技术，可以充分利用计算机硬件的性能，随着CPU核数以及内存的增加，对于相同项目的测试速度可以达到其他产品的10倍以上。

Ø  产品系统集成和可扩展性

HP Fortify SCA可以和目前所有主流的IDE集成开发环境集成，业界最多，开发人员可以通过IDE集成开发环境轻松完成代码的安全测试和审计，主要支持的IDE插件如Eclipse 、Microsoft Visual Studio、JDeveloper、IntelliJ、RAD等，如 Microsoft Visual Studio界面中可以看到HP Fortify SCA功能菜单。

通过HP FortifySCA-IDE插件可以完成对所选项目的HP FortifySCA代码安全测试扫描、审计以及发布测试结果等工作，完全具备HP FortifySCA审计工作台的所有功能，由于集成在开发人员的IDE

开发环境中，可以更加方便开发人员针对自己开发的代码做及时的检测，并且得到及时的修复。使用方便，功能强大，远远领先于业界其他产品。

HP Fortify SCA可以支持和Jira、ALM/QC、Bugzilla等主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。

HP Fortify漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。 提高工作效率，实现集中管理。可以支持和主流持续集成平台的整合如Jenkins（Hudson），实现从获取最新代码、构建编译、安全测试、结果发布的全自动化，提高工作效率，节省人力成本。

HP Fortify SCA可以支持和主流的黑盒Web应用安全测试产品HP WebInspect进行黑白盒关联分析，提高了安全性测试结果的关联性和准确性、精确定位问题根源、减少解决安全问题的时间、按照优先级处理漏洞节省资源。

HPFortify SCA还可以实现和目前最流行的开源java代码质量检查工具Findbugs的无缝集成，无论HPFortify SCA界面还是生成的报告中，都可以显示Findbugs发现的问题。