Question

Fortify SCA 是由惠普研发的一款商业软件产品，针对源代码进行专业的白盒安全审计，当然，它是收费的，而且这种商业软件一般都价格不菲。它有 Windows、Linux、UNIX 以及 Mac 版本，通过内置的五大主要分析引擎（数据流、控制流、语义、结构以及配置）对应用软件的源代码进行静态分析。关于这五大分析引擎的介绍如表 2-1 所示。

表 2-1 五大分析引擎概述

Fortify SCA 是目前支持最多编程语言的审计软件。它支持的编程语言如下所示：

ASP.NET

VB6

VB.NET

Java

C#.NET

JSP

ASP

JavaScript

VBScript

HTML

Action Script

XML

Objective-C

C/C++

ColdFusion 5.0

PHP

Python

T-SQL（MSSQL）

COBOL

PL/SQL（Oracle）

SAP-ABAP

分析的过程中与它特有的软件安全漏洞规则集进行全面的匹配、搜索，在最终的漏洞结果中，包括详细的漏洞信息，以及漏洞相关的安全知识说明和修复意见。