掌握 Fortify AWB 掃描分析,幫你搞懂程式檢測報告
Fortify SCA(Static Code Analyzer;靜態原始碼檢測)提供一個圖形化使用者介面 AWB(Audit Workbench),讓使用者可透過 AWB 指定目標軟體專案目錄,設定掃描參數,接著進行掃描。掃描完成後,會將掃描結果加以組織並依漏洞嚴重程度排定優先等級,詳盡的顯示在此圖形界面中,為整個檢測帶來很大的效益,並在開發階段解決程式的安全問題。現在就讓資通電腦 Fortify 顧問帶您認識一下 AWB 五大區塊的功能用途,有效掌握其中的關鍵資訊!
首先要來介紹 AWB 工具提供的專案摘要說明。
AWB 專案摘要說明項目
1. 摘要(Summary):說明掃描日期、掃描的程式數量、問題數量…等。
2. 建構資訊(Build Information):說明檔案數量、檔案名稱。
3. 詳細資訊(Analysis Information):說明 Fortify 版本資訊、平台資訊、掃描日期、使用的檢測規則…等。
接著就要從 AWB 五大區塊來看程式檢測的問題分析與指引。AWB五大區塊包含:問題面板、原始碼、分析追蹤、匯整與細項、程式。
而每個區塊有各自的功能用途,協助開發人員了解程式檢測的問題分析與指引。現在就來細說 AWB 各區塊的作用。
AWB 五大區塊的功能用途
1. 問題面板區塊的功能用途:可找到程式碼潛在的漏洞,並區分嚴重等級。同時可協助開發者歸類所發現的安全弱點,並指出發生在哪支程式中。
2. 原始碼區塊的功能用途:清楚指出弱點發生的程式碼列位置。
3. 分析追蹤區塊的功能用途:多層次的追蹤分析技術,協助開發者精準找到及追蹤漏洞的流程及位置。
4. 匯整與細項區塊的功能用途:以圖表形式呈現完整的數據流,追蹤至問題的發生處。並提供安全弱點的說明與解釋。
5. 程式區塊的功能用途:顯示 Function 在原始碼中出現的方式和位置,也顯示檢測規則涵蓋了那些 Function 及相匹配的規則 ID。
延伸閱讀:
