软件源代码安全扫描\代码安全检测

Fortify Source Code Analysis Engine（源代码分析引擎）

采用数据流分析引擎，语义分析引擎，结构分析引擎，控制流分析引擎，配置分析引擎和特有的X-Tier跟踪器从不同的方面查看代码的安全漏洞，大化降低代码安全风险。

Fortify Secure Code rules：Fortify（软件安全代码规则集）

采用国际公认的安全漏洞规则和众多软件安全专家的建议，辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用，包括美国国土安全（CWE）标准、OWASP，PCI。。。等。

Fortify Audit Workbench （安全审计工作台）

辅助开发人员、安全审计人员对Fortify Source Code AnalysisEngines（源代码分析引擎）扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。 

Fortify Rules Builder（安全规则构建器）
提供自定义软件安全代码规则功能，满足特定项目环境和企业软件安全的需要。

Fortify Source Code Analysis Suite plug in （Fortify SCAIDE集成开发插件）

Eclipse, WSAD, Visual Studio集成开发环境中的插件，便于开发者在编写代码过程中可以直接使用工具扫描代码，立刻识别代码安全漏洞，并立即根据建议修复，消除安全缺陷在初的编码阶段，及早发现安全问题，降低安全问题的查找和修复的成本。

产品功能：

源代码安全漏洞的扫描分析功能：

1．独特的数据流分析技术，跟踪被感染的、可疑的输入数据，直到该数据被不安全使用的全过程，并跨越整个软件的各个层次和编程语言的边界。
2．独特的语义分析技术发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，并标识出使用特定函数或者过程带来的软件安全的隐患
3．独特的控制流分析技术地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。
4．独特的配置流分析技术分析软件的配置和代码的关系，发现在软件配置和代码之间，配置丢失或者不一致而带来的安全隐患
5．独特的代码结构分析技术从代码的结构方面分析代码，识别代码结构不合理而带来的安全弱点和问题。
6．自定义安全代码规则功能。

源代码安全漏洞的审计功能：

1．安全漏洞扫描结果的汇总和问题优先级别划分功能。
2．安全审计自动导航功能
3．安全问题定位和问题传递过程跟踪功能。
4．安全问题查询和过滤功能。
5．安全问题审计结果、审计类别划分和问题旁注功能。
6．安全问题描述和推荐修复建议。

产品特性：

1．从多方面分析软件源代码，查找软件安全漏洞，是目前采用分析技术多的，能全面检查代码安全问题，其检查方式分别为：数据流、控制流、语义、配置流和代码结构

2．是目前唯一的能跨越软件不同层次和不同语言边界的静态分析技术，能跟踪软件安全漏洞引入的过程。

3．安全代码规则全面，安全漏洞检查彻底。目前包括150多种类别的安全漏洞，其安全代码规则多达50000多条。规则内容涉及ASP.NET,C/C++, C#, ColdFusion,Java, JSP, PL/SQL, T-SQL, XML,VB.NET andother .NET等多种语言

4．支持多种国际软件安全的标准：OWASP、Payment Card Industry (PCI)Compliance、Federal Information Security Management Act（FISMA）CommonWeakness Enumeration（CWE）….。

5. 支持混合语言的分析，包括 ASP.NET, C/C++, C#, Java?, JSP, PL/SQL,T-SQL,VB.NET, XML and other .NET languages. Fortify SCA 支持 Windows?,Solaris?, Linux?, AIX? and Mac OS? X….等多种操作系统

6. 支持自定义软件安全代码规则。

7．集成软件开发环境（Microsoft Visual Studio, IBM RAD, andEclipse.）和自动产品构建过程。

8． 基于Web接口，能对企业多个项目进行集中的安全统计、分析和管理