苏州华克斯公司-源代码审计工具fortify sca

让 SAP “一眼倾心”，Fortify 的魅力难以抗拒！

基于 SAP 的产品安全战略要求，开发过程中的静态分析要确保所有应用程序的安全性与抗击网络威胁的能力，从而保护客户和公司的业务安全。Micro Focus Fortify 是助其成功的关键因素。

SAP 用自主维护的静态分析工具来分析以专有 ABAP 语言编写的应用程序。但对于 Java（ABAP 后 SAP 蕞常用的编程语言），公司决定采纳第三方的服务。他们的选择是行业的leader——Micro Focus Fortify，现在，SAP 已将 Fortify 完全整合到他们的开发全生命周期之中。

于是，SAP 与 Fortify 一起设计和实施了应用静态分析的综合解决方案，即基于 Fortify 软件安全中心（SSC）和 Fortify 静态代码分析器（SCA）的综合解决方案，以 Java、C#、JSP 等语言为主。

Fortify SCA基本功能

3、必须支持以下编程语言，包括ASP.NET，C，C++，C#， Flex/Acti0nScript，源代码审计工具fortify sca， Java，

JavaScript/AJAX， JSP， Objective

C，PL/SQL，PHP，河南fortify sca，T-SQL，VB.NET，VBScript，VB6，XML/HTML，Python， ColdFusion，

COBOL， ABAP， Ruby， Swift， Scala、Go、Kotlin等语言。

4、必须支持工具的IDE集成，如：Visual Studio2019/2017/2015、  IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse

等开发工具。

5、需支持部署在多种操作系统，即可以安装在所有主流操作系统中，如：Windows、Linux、MacOS等。

6、工具的技术达到水平和地位，源代码审计工具fortify sca，在的IT研究咨询机构Gartner的报告中，必须位于魔力象限的象限业界地位（提供证明材料）。

7、工具支持自动检测版本更新，漏洞规则库支持在线定期自动更新，可以在线和离线两种方式进行升级更新。

8、测试、扫描速度快。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。

9、提供灵活的使用分析方式，如IDE集成分析、命令行分析、审计控制台分析等。

Fortify自定义规则

1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器，CustomRulesEditor.cmd，如下图所示：

2). 打开编辑器后，选择File ——>Generate Rule，弹出规则向导框。

3). 自定义规则模板可以按照漏洞类型(Category)和规则类型（Rule Type）进行分类，不管是何种方式分类，这些模板大体上分为，数据污染源tainted规则，数据控制流规则，源代码检测工具fortify sca，数据传递规则，以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板，和开发语言的函数特征，建立规则就简单了。

4) .选择规则包语言，点击next，然后填写报名，类名，函数名

5). 点击next，设置sink点