<*n style="font-size:20px"><*n style="font-family:"Times New Roman",serif">应用程序会带来风险和安全漏洞

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">软件开发人员面临的现实

1. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">构建新特征与新功能
2. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">日益加剧的复杂性
3. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">数不胜数的交付日期
4. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">日渐萎缩的预算
5. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">产品延期

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">这些词语无时无刻不在软件开发人员的耳边 <*n style="font-family:宋体">萦绕，因为这些正是他们在开发重要业务应 <*n style="font-family:宋体">用程序时所面临的需求。当今的应用程序构 <*n style="font-family:宋体">建需要满足不计其数的复杂需求，开发人员 <*n style="font-family:宋体">因此感到顾此失彼，安全性考虑只能退居其 <*n style="font-family:宋体">次。与此同时，各种威胁不断演变，对手也 <*n style="font-family:宋体">越来越擅长利用应用程序这一软肋。Fortify Static Code Analyzer (SCA) <*n style="font-family:宋体">可帮助*抵御当 <*n style="font-family:宋体">今大的安全风险，即运行于企业内部的应 <*n style="font-family:宋体">用程序。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify SCA <*n style="font-family:宋体">是一款静态应用程序安全性测试 (SAST) <*n style="font-family:宋体">产品，可供开发团队和安全*分析 <*n style="font-family:宋体">源代码，检测安全漏洞。该功能可检查代 <*n style="font-family:宋体">码，能够帮助开发人员更快更轻松地识别 <*n style="font-family:宋体">问题并排定问题优先级，然后加以解决。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify SCA 可助力开发人员：

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">提前并经常性地扫描源代码 <*n style="font-family:宋体">将漏洞的根本原因锁定到代码行 <*n style="font-family:宋体">关联结果并对其进行优先级排序 <*n style="font-family:宋体">加快开发速度并缩短扫描时间快速*安全漏洞审视实践，帮助开发人员以更安全 <*n style="font-family:宋体">的方式进行编码

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">什么是静态代码分析？

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">静态代码分析可有效识别源代码中的安全 <*n style="font-family:宋体">漏洞。静态代码分析应当在开发生命周期 <*n style="font-family:宋体">的前期完成，并且应持续贯穿应用程序的 <*n style="font-family:宋体">整个生命周期。它能够在开发过程中就代 <*n style="font-family:宋体">码中出现的问题快速向开发人员提供反馈。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">为何 Fortify SCA <*n style="font-family:宋体">非常适合您？

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">*

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify SCA <*n style="font-family:宋体">支持丰富的开发环境、语言、平 <*n style="font-family:宋体">台和框架，可对开发与生产混合环境进行 <*n style="font-family:宋体">安全检查。

1. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">25 <*n style="font-family:宋体">种编程语言
2. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">超过 911,000 <*n style="font-family:宋体">个组件级 API
3. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">可检测超过 961 <*n style="font-family:宋体">个漏洞类别 <*n style="font-family:宋体">支持所有主流平台、构建环境和 IDE

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">准确

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify SCA <*n style="font-family:宋体">可提供准确的结果，并且能检测 <*n style="font-family:宋体">出大量其他静态测试技术所无法检测的问 <*n style="font-family:宋体">题。Fortify SCA <*n style="font-family:宋体">可对漏洞进行优先级排序， <*n style="font-family:宋体">从而提供准确的操作计划，交付已按风险 <*n style="font-family:宋体">划分等级和分类的问题 <*n style="font-family:宋体">。 <*n style="font-family:宋体">该产 <*n style="font-family:宋体">品 <*n style="font-family:宋体">遵循由 Micro Focus® Security Fortify <*n style="font-family:宋体">软件安全研究 <*n style="font-family:宋体">团队扩展和更新的一套的安<*n style="font-family:宋体">全编码规则。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">灵活

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify SCA <*n style="font-family:宋体">可融入您的现有开发环境。它是 <*n style="font-family:宋体">一款灵活的命令行静态代码分析器，可通过 <*n style="font-family:宋体">脚本、插件和 GUI <*n style="font-family:宋体">工具集成到任何环境，便 <*n style="font-family:宋体">于开发人员快速轻松地启动运行。

<*n style="font-family:Times New Roman,serif"><*n style="font-size:14px">有效

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">那些需要加速实现应用程序安全计划的组 <*n style="font-family:宋体">织将从更短的扫描时间中获益浅。Fortify SCA <*n style="font-family:宋体">可通过提供增量扫描，帮助开发人员提 <*n style="font-family:宋体">升编程效率。通过只分析自上一次完整扫 <*n style="font-family:宋体">描之后变更的代码部分，增量扫描可缩短 <*n style="font-family:宋体">运行扫描所需的时间。这将显著缩短扫描 <*n style="font-family:宋体">时间，从而让开人员加速获得结果，该产 <*n style="font-family:宋体">品还能通过支持更加频繁的扫描来提工<*n style="font-family:宋体">作效率，并可以更快地将软件投入到生产当中。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">可扩展

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">由于应用程序来自于公司内部、外包、第 <*n style="font-family:宋体">三方、开源、移动等多个来源，再加上这 <*n style="font-family:宋体">些应用程序具有惊人的数目和复杂性，因 <*n style="font-family:宋体">此想要测试并保持企业中的所有这些应用 <*n style="font-family:宋体">程序类型的安全无虞便显得困难重重。 Fortify SCA <*n style="font-family:宋体">支持业内大部分编程语言，能够 <*n style="font-family:宋体">识别所有类型应用程序中的风险，并可根 <*n style="font-family:宋体">据不断增长的企业需求进行扩展。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">内部部署或按需部署

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify SCA <*n style="font-family:宋体">能够以多种交付模式运行，旨在 <*n style="font-family:宋体">适应不断变化的需求和要求。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">内部部署 — <*n style="font-family:宋体">适用于部署、管理及现场 <*n style="font-family:宋体">运行静态应用程序安全性测试计划的 Fortify SCA<*n style="font-family:宋体">。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">按需部署 — Fortify on Demand <*n style="font-family:宋体">是一项 <*n style="font-family:宋体">托管应用程序安全性测试服务，它能 <*n style="font-family:宋体">以一种简单、准确的方式启动静态、 <*n style="font-family:宋体">动态和移动测试，同时无需前期、 <*n style="font-family:宋体">额外的资源和时间。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">支持的语言

1. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">ABAP/BSP
2. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">ActionScript/MXML (Flex) ASP.NET<*n style="font-family:宋体">、VB.NET<*n style="font-family:宋体">、C# (.NET) C/C++
3. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Classic ASP <*n style="font-family:宋体">（带 VBScript<*n style="font-family:宋体">）
4. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">COBOL
5. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">ColdFusion CFML HTML
6. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">J*a<*n style="font-family:宋体">（包括 Android<*n style="font-family:宋体">）
7. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">J*aScript/AJAX JSP
8. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Objective-C
9. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">PHP PL/SQL
10. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Python T-SQL
11. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Ruby Swift
12. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Visual Basic VBScript XML
13. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Scala
14. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">Fortify  SCA 是一款静态应用程序安全性测试
15. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Eclipse
16. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">IntelliJ Ultimate
17. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">IntelliJ Community Android Studio
18. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">IBM Rational Application Developer (RAD) IBM Rational Software Architect (RSA)
19. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Microsoft Visual Studio
20.  

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">支持的构建工具

1. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Ant
2. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Jenkins
3. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">M*en
4. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">MSBuild
5. <*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Xcodebuild

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif">Fortify 的软件安全漏洞分类

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">漏洞类别 <*n style="font-family:宋体">谈到软件安全，目前对何谓重大漏洞尚没有 <*n style="font-family:宋体">统一的标准。众多*都发布了自己对严重 <*n style="font-family:宋体">漏洞的*，这导致对标准产生了认知差异 <*n style="font-family:宋体">和疑惑。为了帮助开发人员了解导致安全漏 <*n style="font-family:宋体">洞的常见编码错误类型，Fortify <*n style="font-family:宋体">编写了软件开 <*n style="font-family:宋体">发七宗罪（The Seven Pernicious Kingdoms<*n style="font-family:宋体">）， <*n style="font-family:宋体">在其*一了漏洞的*分类，并将它们对 <*n style="font-family:宋体">应到 OWASP<*n style="font-family:宋体">、SANS<*n style="font-family:宋体">、CWE <*n style="font-family:宋体">和 FISMA <*n style="font-family:宋体">等标准中。

<*n style="font-size:10.5pt"><*n style="font-family:"Times New Roman",serif"><*n style="font-family:宋体">作为一家业界公认的安全*，Fortify <*n style="font-family:宋体">安 <*n style="font-family:宋体">全研究团队是一支监控新型威胁全球团队。 <*n style="font-family:宋体">他们会以漏洞检查的形式将收集到的知识输 <*n style="font-family:宋体">送到 Micro Focus Security Fortify <*n style="font-family:宋体">产品套件中， <*n style="font-family:宋体">确保及时检测出新的威胁。该团队创建了 <*n style="font-family:宋体">一套漏洞类别分类规则，力求帮助开发人员 <*n style="font-family:宋体">了解各种影响应用程序的安全漏洞。