Fortify的資料流分析技術

Fortify的資料流分析技術

Fortify SCA引入了類似taint mode的概念，工具會以污染標示元（taint flag）自動標示出受污染的變數源，稱為Source，這個污染源通常是網頁的輸入或是程式參數輸入點，變數經過一連串的傳遞，到達可能會引發真正安全風險的函式呼叫，稱為Sink，也就是事件的引爆點。

來自：http://www.gss.com.tw/index.php/focus/eis/44-eis59/122-fortify