源代码扫描工具fortify价格表-华克斯

Fortify审计界面概述

下图显示了“Auditing（审计）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下几个面板组成：

“Issues（问题）”面板

“Analysis Trace（分析跟踪）”面板

“Project Summary（项目摘要）”面板

“Source Code Viewer（源代码查看器）”面板

“Function（函数）”面板

“Issue Auditing（问题审计）”面板

“Issues（问题）”面板

使用 Issues（问题）面板，您可以对希望审计的问题进行分组和选择。该面板由下列元素组成：

“Filter Set（过滤器组）”下拉列表

“Folders（文件夹）”选项卡

Group by（分组方式）

“Search（搜索）”框

Fortify SCA基本功能

3、必须支持以下编程语言，包括ASP.NET，C，C++，C#， Flex/Acti0nScript， Java，

JavaScript/AJAX，源代码检测工具fortify价格表， JSP， Objective

C，PL/SQL，PHP，T-SQL，VB.NET，VBScript，VB6，XML/HTML，Python， ColdFusion，

COBOL， ABAP， Ruby， Swift， Scala、Go、Kotlin等语言。

4、必须支持工具的IDE集成，源代码扫描工具fortify价格表，如：Visual Studio2019/2017/2015、  IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse

等开发工具。

5、需支持部署在多种操作系统，fortify价格表，即可以安装在所有主流操作系统中，如：Windows、Linux、MacOS等。

6、工具的技术达到水平和地位，在的IT研究咨询机构Gartner的报告中，必须位于魔力象限的象限业界地位（提供证明材料）。

7、工具支持自动检测版本更新，源代码检测工具fortify价格表，漏洞规则库支持在线定期自动更新，可以在线和离线两种方式进行升级更新。

8、测试、扫描速度快。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。

9、提供灵活的使用分析方式，如IDE集成分析、命令行分析、审计控制台分析等。

C/C++源码扫描系列- Fortify 篇

环境搭建

Linux搭建

解压的压缩包，然后执行 ./Fortify_SCA_and_Apps_19.2.1_linux_x64.run 按照引导完成安装即可，安装完成后进入目录执行sourceanalyzer来查看是否安装完成

然后将 rules 和 ExternalMetadata 拷贝到对应的目录中完成规则的安装。

Fortify的工作原理和codeql类似，首先会需要使用Fortify对目标源码进行分析提取源代码中的信息，然后使用规则从源码信息中查询出匹配的代码。