Fortify SCA 产品组件介绍

Fortify SCA是一个产品的套件，它是由内置的分析引擎、安全编码规则包、审查工作台、规则自定义编辑器和向导、IDE 插件五部分组件，五个组件配合工作完成对源代码安全漏洞的扫描，分析，查看，审计等工作。

简单介绍这五个部分如下：

（1）分析引擎：内置五大分析引擎与规则包配合工作，从五个侧面全面地分析程序源代码中的安全漏洞。

（2）安全编码规则包：由多位顶级的软件安全专家，多年研究出来的数十万条软件安全漏洞特征的集合。目前能查找出来约350多种安全漏洞，内置在SCA中与分析引擎配合工作。

（3）审计工作台：一个用来查看，审计SCA分析出来的漏洞结果的综合的平台，它包含大量的丰富的软件漏洞的信息，它包括了漏洞的分级，漏洞产生的全过程，漏洞所在的源代码行数定位，以及漏洞的解释说明和推荐的修复建议等内容，极大地方便地用户对SCA的查看，审计等工作。

（4）规则自定义向导/编辑器：Fortify SCA的规则支持自定义功能，方便用户来扩展SCA对漏洞的分析能力，所以SCA提供了一个用户自定义的向导和编辑器。

（5）IDE插件：为了方便用户使用SCA对程序源代码进行安全扫描，它提供了多种IDE工具的插件，如Eclipse, Visual Studio,RAD, WSAD等。

五大分析引擎：

（1）数据流引擎：跟踪,记录并分析程序中的数据传递过程所产生的安全问题。

（2）语义引擎：分析程序中不安全的函数,方法的使用的安全问题。

（3）结构引擎：分析程序上下文环境,结构中的安全问题。

（4）控制流引擎：分析程序特定时间,状态下执行操作指令的安全问题。

（5）配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。