技术标签: 安全测试
1-Fortify SCA(Fortify Source Code Analysis)是一个静态的、白盒的软件源代码安全测试工具。
它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。
Foritfy SCA主要包含的五大分析引擎:
数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境,结构中的安全问题。
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
说明:特有的X-Tier跟踪器:跨跃项目的上下层次,贯穿程序来综合分析问题
2-Fortify SCA是一个产品的套件,它是由内置的分析引擎、安全编码规则包、审查工作台、规则自定义编辑器和向导、IDE 插件五部分组件,五个组件配合工作完成对源代码安全漏洞的扫描,分析,查看,审计等工作。
1)分析引擎:内置五大分析引擎与规则包配合工作,从五个侧面全面地分析程序源代码中的安全漏洞。
2)安全编码规则包:由多位顶级的软件安全专家,多年研究出来的数十万条软件安全漏洞特征的集合。目前能查找出来约350多种安全漏洞,内置在SCA中与分析引擎配合工作。
3)审计工作台:一个用来查看,审计SCA分析出来的漏洞结果的综合的平台,它包含大量的丰富的软件漏洞的信息,如下图2 所示,它包括了漏洞的分级,漏洞产生的全过程,漏洞所在的源代码行数定位,以及漏洞的解释说明和推荐的修复建议等内容,极大地方便地用户对SCA的查看,审计等工作。
4)规则自定义向导/编辑器:Fortify SCA的规则支持自定义功能,方便用户来扩展SCA对漏洞的分析能力,所以SCA提供了一个用户自定义的向导和编辑器。
5)IDE插件:为了方便用户使用SCA对程序源代码进行安全扫描,它提供了多种IDE工具的插件,如Eclipse, Visual Studio,RAD, WSAD等。
3-其他方面
1)Fortify SCA支持的平台:
Windows, Solaris, Red Hat Linux,Mac OS X, HP-UX, IBM AIX
2)Fortify SCA支持的编程语言:
C, C++,.Net, Java, JSP,PL/SQL, T-SQL, XML, CFMLJavaScript, PHP, ASP, VB, VBScript
3)Fortify SCA plug-In 支持的有:
Visual Studio, Eclipse, RAD, WSAD
4)Fortify SCA目前能够扫描的安全漏洞种类有:
目前Fortify SCA可以扫描出约350种漏洞,Fortify将所有安全漏洞整理分类,根据开发语言分项目,再细分为8个大类,约350个子类
文章浏览阅读356次。MySql索引的数据结构介绍MySql的索引介绍区别与异同InnoDB引擎与MyISAM引擎的介绍和异同MySql的范式化和反范式介绍为什么MySql推荐使用自增主键MySql的最左匹配原则稀疏索引和密集索引的区别什么是索引覆盖什么是自适应Hash索引InnoDB的二级索引回表与MRR使用索引考虑空间和时间的代价..._设计一个索引数据结构以及相应的算法
文章浏览阅读2.2k次,点赞6次,收藏29次。我们知道,在数学中,数值的大小是没有上限的,但是在计算机中,由于字长的限制,计算机所能表示的范围是有限的,当我们对比较小的数进行运算时,如:1234 + 5678,这样的数值并没有超出计算机的表示范围,所以可以运算。但是当我们在实际的应用中进行大量的数据处理时,会发现参与运算的数往往超过计算机的基本数据类型的表示范围,比如说,在天文学上,如果一个星球距离我们为 100 万光年,那么我们将其化简为公里,或者是米的时候,我们会发现这是一个很大的数。这样计算机将无法对其进行直接计算。可能我们认为实际应用中的大数_大数运算
文章浏览阅读2.1k次。00%=FF(不透明) 5%=F2 10%=E5 15%=D8 20%=CC 25%=BF 30%=B2 35%=A5 40%=99 45%=8c 50%=7F 55%=72 60%=66 65%=59 70%=4c 75%=3F 80%=33 85%=21 90%=19 95%=0c_android开发透明度90%
文章浏览阅读1.2w次,点赞16次,收藏165次。 宠物网页设计 、保护动物网页、鲸鱼海豚主题、保护大象、等网站的设计与制作。️HTML宠物网页设计,采用DIV+CSS布局,共有多个页面,排版整洁,内容丰富,主题鲜明,首页使用CSS排版比较丰富,色彩鲜明有活力,导航与正文字体分别设置不同字号大小。导航区域设置了背景图。子页面有纯文字页面和图文并茂页面。 一套优质的网页设计应该包含 (具体可根据个人要求而定)网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程序方面:计划采用最新的......_html宠物网页简单代码
文章浏览阅读28次。1.背景介绍计算机科学是一门广泛的学科,涵盖了许多领域,包括操作系统和并发编程。操作系统是计算机系统的核心,负责资源的分配和管理,而并发编程则是一种编程范式,允许多个任务同时运行。在本文中,我们将探讨计算的原理和计算技术简史,特别关注操作系统和并发编程的发展。操作系统的发展可以分为以下几个阶段:早期操
文章浏览阅读312次。【题目描述】给定一个字符,用它构造一个底边长5个字符,高3个字符的等腰字符三角形。【输入】输入只有一行,包含一个字符。【输出】该字符构成的等腰三角形,底边长5个字符,高3个字符。【输入样例】*【输出样例】 * ********#include <iostream>#include <string>using namespace std;int main(){ string n; cin >> n_信奥1004
文章浏览阅读1w次,点赞17次,收藏60次。参赛单元:互联网、大数据及云计算作者:刘啸单位:上海垣观数据科技有限公司随着信息技术的发展,大数据的概念越来越引发人们的关注,各种有关于城市的新数据类型也不断涌现,为客观认识城市系统并总结其发展规律提供了重要机遇。本文结合腾讯人口迁徙数据爬取与分析案例,不仅展示了如何利用FME进行支撑城市规划决策的数据分析,也展示了以FME为核心的从数据获取、数据清洗、数据分析、数据可视化等全生...
文章浏览阅读1.6w次,点赞9次,收藏72次。附带有各类型附件(如:word,excel,ppt,zip等),用户希望能够有在线预览附件的功能。日常开发中常见的文件格式有pdf,word,Excel,PPT,Html,txt,图片等。pdf,Html,txt,图片这种实现在线预览非常简单,有一些前端的插件可以满足要求。word,Excel,PPT如果要实现在线预览则更难一些。...
文章浏览阅读3.2w次。百度文库文档免费下载PDF版,老版本不能用了,百度云盘链接: https://pan.baidu.com/s/1t6owKPMX966FH7uDm2b6GQ 密码: 3mgc _冰点下载网络链接失败怎么办
文章浏览阅读3.8k次。制作windows7+10-qcow2镜像1.工具准备:vmware 14、virtio-win-0.1.141.iso(虚拟驱动)、cloudbase-init(虚拟机初始化工具)、win-7.iso/win-10.iso。vmware:https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation...._windows 7 cow2
文章浏览阅读6.9k次,点赞7次,收藏22次。tinymce富文本编辑器的视频上传功能,发现默认只能填写视频链接,不能上传本地的视频修改视频上传按钮需要设置 file_picker_callback在 tinymce.init 中添加 //自定义文件选择器的回调内容 此方法只有在点击上方图片按钮才会触发 file_picker_callback: function (callback, value, meta) { if (meta.filetype === 'file') { callback('_tinymce 上传视频
文章浏览阅读1k次,点赞20次,收藏10次。长为500 nm,半径为1 mm的小孔来说,在孔后2 m的范围便可以观察到夫琅禾费衍射图案,我们也可以自己做个简单的实验,在一张白纸上戳一个小孔,关闭房间的灯光,用手机闪光灯照射小孔便可以在一两米外看到闪光灯的像。而当孔的半径变大到10 mm时(比如说相机镜头的入瞳大小,相对应的,我们前面计算的50 mm,f2的透镜入瞳半径为12.5 mm),就需要在200 m外才能观察到夫琅禾费衍射的图案,此时在短距离我们无法直接观察到像。这些反射光进入成像系统,经过透镜或反射镜的聚焦作用,最终形成物体的像。