FortifySCA支持源代碼安全風(fēng)險(xiǎn)評(píng)估的語(yǔ)言

支持的語(yǔ)言業(yè)界***多，跨層、跨語(yǔ)言地分析代碼的漏洞的產(chǎn)生：C， C ， .Net，

J***a， JSP，PL/SQL， T-SQL， XML， CFML， J***aScript， PHP， ASP， VB， VBScript；

支持***多的平臺(tái)，基本上所有平臺(tái)都支持：Windows， Solaris， Red Hat Linux，

Mac OS X， HP-UX， IBM AIX；

IDE支持 VS， Eclipse， RAD， WSAD。

Fortify SCA 簡(jiǎn)介

Fortify SCA 是一個(gè)靜態(tài)的、白盒的軟件源代碼安全測(cè)試工具。 它通過(guò)內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語(yǔ)義、結(jié)構(gòu)、控制流、配 置流等對(duì)應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析，分析的過(guò)程中與它特有 的軟件安全漏洞規(guī)則集進(jìn)行全mian地匹配、查找，從而將源代碼中存在

的安全漏洞掃描出來(lái)，并給予整理報(bào)告。掃描的結(jié)果中不但包括詳細(xì) 的安全漏洞的信息，還會(huì)有相關(guān)的安全知識(shí)的說(shuō)明，以及修復(fù)意見(jiàn)的 提供。

1．Fortify

SCA 掃描引擎介紹：

Foritfy SCA

主要包含的五大分析引擎：

z 數(shù)據(jù)流引擎：跟蹤，記錄并分析程序中的數(shù)據(jù)傳遞過(guò)程所產(chǎn)生

的安全問(wèn)題。

z 語(yǔ)義引擎：分析程序中不安全的函數(shù)，方法的使用的安全問(wèn)題。

z 結(jié)構(gòu)引擎：分析程序上下文環(huán)境，結(jié)構(gòu)中的安全問(wèn)題。

z 控制流引擎：分析程序特定時(shí)間，狀態(tài)下執(zhí)行操作指令的安全 問(wèn)題。

z 配置引擎：分析項(xiàng)目配置文件中的敏感信息和配置缺失的安全

問(wèn)題。

z 特有的 X-Tier?跟zong器：跨躍項(xiàng)目的上下層次，貫穿程序來(lái)綜合 分析問(wèn)題

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

如何解決Fortify報(bào)告的掃描問(wèn)題

已經(jīng)注意到以下錯(cuò)誤消息，但是軟件保障計(jì)劃辦公室還沒(méi)有關(guān)于如何解決這些問(wèn)題的指導(dǎo)。建議嘗試使用以下步驟解決這些問(wèn)題：

生成日志文件并查看它以獲取有關(guān)該問(wèn)題的更多信息

打開(kāi)支持票幫助

聯(lián)系Fortify技術(shù)支持（fortifytechsupport@）尋求幫助

如果這些步驟無(wú)法解決問(wèn)題，請(qǐng)將您與Fortify技術(shù)支持部門(mén)的通訊連同V＆V安全代碼審查資料一起提供，并在準(zhǔn)備報(bào)告時(shí)將其納入考量

請(qǐng)注意，這不是錯(cuò)誤消息的完整列表，并將更多地變得更加廣泛：

錯(cuò)誤代碼

錯(cuò)誤信息

筆記

1意外的異常：高階分析不適用

101文件。 。 。沒(méi)有找到N / A

1002，1003解析文件N / A時(shí)出現(xiàn)意外的異常

1005數(shù)據(jù)流分析期間的意外異常N / A

1009構(gòu)建調(diào)用圖N / A時(shí)出現(xiàn)意外異常

1038初始分析階段N / A中出現(xiàn)意外異常

1142在內(nèi)部存儲(chǔ)器管理期間發(fā)生意外錯(cuò)誤。掃描將繼續(xù)，但內(nèi)存可能會(huì)迅速耗盡，掃描結(jié)果可能不完整。 N / A

1202無(wú)法解析符號(hào)。 。 。 N / A

1207配置文件。 。 。無(wú)法找到網(wǎng)絡(luò)應(yīng)用程序N / A

1211無(wú)法解析類(lèi)型N / A

1213無(wú)法解析字段N / A

1216無(wú)法找到導(dǎo)入（？）N / A

1227嘗試加載類(lèi)路徑存檔時(shí)發(fā)生異常...文件可能已損壞或無(wú)法讀取。 N / A

1228屬性文件。 。 。以連續(xù)標(biāo)記結(jié)束。該文件可能已損壞。 N / A

1232格式錯(cuò)誤或IO異常阻止了類(lèi)文件。 。 。從被讀取不適用

1236無(wú)法將以下aspx文件轉(zhuǎn)換為分析模型。 N / A

1237以下對(duì)j***a符號(hào)的引用無(wú)法解決。某些實(shí)例可以通過(guò)調(diào)整提供給Fortify的類(lèi)路徑來(lái)解決，但是在所有情況下都不能解決此問(wèn)題。

1551，1552多個(gè)ColdFusion錯(cuò)誤（無(wú)法解析組件，找不到函數(shù)，F(xiàn)ortify SCA核心代理，意外令牌等）可以與使用不支持的ColdFusion版本相關(guān)。

12002找不到Web應(yīng)用程序的部署描述符（web.xml）。 N / A

12004 J***a前端無(wú)法解析以下包含N / A

12004 Python前端無(wú)法解析以下導(dǎo)入N / A

13509規(guī)則腳本錯(cuò)誤可能是Fortify錯(cuò)誤，但需要確認(rèn)

某些錯(cuò)誤消息可能是Fortify工具中的問(wèn)題的結(jié)果。確認(rèn)的問(wèn)題以及如何處理這些問(wèn)題，都會(huì)發(fā)布在OISSWA博客中，以及有關(guān)解析/語(yǔ)法錯(cuò)誤的技術(shù)說(shuō)明。已確認(rèn)的Fortify問(wèn)題也在本頁(yè)頂部的表格中注明。

如果您在解決警告或錯(cuò)誤消息時(shí)遇到問(wèn)題，請(qǐng)參閱我們的常見(jiàn)問(wèn)題解答以獲取有關(guān)打開(kāi)支持票證的信息。

參考

參見(jiàn)參考技術(shù)說(shuō)明

Fortify SCA中國(guó)-華克斯(在線(xiàn)咨詢(xún))由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是江蘇 蘇州 ,行業(yè)專(zhuān)用軟件的企業(yè)，多年來(lái)，公司貫徹執(zhí)行科學(xué)管理、創(chuàng)新發(fā)展、誠(chéng)實(shí)守信的方針，滿(mǎn)足客戶(hù)需求。在華克斯***攜全體員工熱情歡迎各界人士垂詢(xún)洽談，共創(chuàng)華克斯更加美好的未來(lái)。