在前面的文章中已经为您介绍了Fortify SCA源代码安全测试工具的优势、功能以及使用,今天的这篇文章来为您讲解一下它的工作流程,帮助您更加了解这款工具。
Fortify SCA的工作流程分为以下四个步骤:
1、源代码分析阶段
将源代码转换为中间格式,并生成要扫描的源文件列表并将其与构建ID关联。扫描在翻译阶段识别出的源文件,并生成结果文件。
2、源代码内部格式转换阶段
Fortify 语言解释器对分析的源代码文件- ASP.NET, C/C++, C#, Java™, JSP, PL/SQL, T-SQL, VB.NET, XML and other .NET languages,进行分析和处理,使之转化成一种 fortify 的内部格式的文件。以便于在第二阶段Analysis Engine对这种统一intermediate的格式的文件使用安全代码规则集进行分析。
3、分析引擎分析阶段
Fortify Global Analysis Engine(分析引擎)使用数据流分析器(Data Flow Analyzer)、语义分析器(Semantic Analyzer)、控制流分析器(Control Flow Analyzer)、配置流分析器(Configuration Analyzer)、配置流分析器(Configuration Analyzer)和结构分析器(Structural Analyzer)调用Secure Coding Rules(安全代码规则集)进行分析,分析的原始结果存放在最初的Fpr或者fvdl文件里。然后我们使用Fortify Audit WorkBeach(审计平台)打开fpr文件就可以看到具体的分析结果,同时也可以把fpr文件导入SCM 进行管理。
4、生成漏洞报告
在安全扫描完成后Fortify SCA会生成一个详细的报告数据,其中包括所有检测到的漏洞和安全隐患。根据漏洞的严重程度划分风险等级,方便区分。报告中还包含修复方案、代码片段,这可以帮助测试人员快速找到和修复漏洞。
有关Fortify SCA源代码安全测试工具工作流程的相关内容到这里就结束了,希望这篇文章能够对您有所帮助,在之后的文章中我们会为您继续介绍Fortify SCA的有关内容,期待您的关注。如果您有一些技术方面的问题可以点击右侧咨询按钮,我们的技术专家会一一为您解答,感谢您的观看。