写在前面:内容仅用于学习交流使用;由于传播、利用本安全猎人所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全猎人安全及作者不为此承担任何责任,一旦造成后果请使用者自行承担!如有侵权,请及时告知,我们会立即删除并致歉
Fortify-详解
0x01 前言
Fortify是Micro Focus旗下AST (应用程序安全测试)产品 ,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。
Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。
简介
Fortify 是⼀个静态的、⽩盒的软件源代码安全测试⼯具。它通过内置的五⼤主要分析引擎:数据流、语义、结构、控制流、配置流等对应
⽤软件的源代码进⾏静态的分析,通过与软件安全漏洞规则集进⾏匹配、查找,从⽽将源代码中存在的安全漏洞扫描出来,并可导出报告。
扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
原理
⾸先通过调⽤语⾔的编译器或者解释器把前端的语⾔代码(如JAVA,C/C++源代码)转换成⼀种中间媒体⽂件NST(Normal Syntax
Tree),将其源代码之间的调⽤关系,执⾏环境,上下⽂等分析清楚。
-通过分析不同类型问题的静态分析引擎分析NST⽂件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息
使用详解
Fortify-安装包及详解获取方式
关注公众号“安全猎人”
回复「Fortify」获取下载链接
欢迎师傅们加入我的 安全猎人的小屋(添加好友备注加群),一起学习进步~后面不定期发布更多资源,更多惊喜等着大家。
欢迎
点赞 + 在看、分享本公众号 给更多师傅们哈
----------------往期精选-----------------
电子数据取证-计算机系统概论
电子数据取证-电子取证流程与技术
取证常用工具
物联网安全测试合集
apk安全测试常用工具
apk安全测试笔记
数据加密-密码学
封面来源于壁纸网站:http://www.netbian.com/s/chaogaoqing
原文始发于微信公众号(安全猎人):Fortify-详解
评论