源代码检测工具fortify-华克斯信息

Fortify常见问题解决方法

内存不足问题

在应用Fortify SCA实施源代码扫描过程中内存不足是分析器（sourceanalyzer）经常报出的一类问题，源代码检测工具fortify，如下：

扫描过程中：

1、com.fortify.sca.analyzer.AbortedException: There is not enough memory available

2、to complete analysis.  For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我们必须对JVM参数进行调整，增加虚拟器内存大小。

（1）确认安装64位的Fortify SCA程序；（这是一个众所周知的JVM问题，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录（就算你安装了64位的Fortify SCA程序，源代码检测工具fortify sca价格，该程序默认的jre仍然是32位的）；

Fortify DAST 更新功能

支持 HTTP/2

现代应用程序已开始利用 HTTP/2 来提高速度，源代码检测工具fortify扫描，并提供更的客户端/服务器通信来改善用户体验。WebInspect 现在可支持使用 HTTP/2 技术的应用程序。

更新引擎6.0版本

Fortify 增强引擎以提高扫描覆盖范围和性能。WebInspect 21.1.0 有着更快的爬取和审计能力，并且提供部署了 Macro Engine 6.0的 Web Macro Recorder 的应用程序支持。

屏蔽 TruClient 参数

部署了 Macro Engine 6.0的 Web Macro Recorder 能够屏蔽密码等参数，将它们隐藏起来。

简化用户代理选择

TruClient macros 和扫描设置现在可支持扫描配置期间的用户代理选择。

显示扫描信息

警报级别的扫描日志消息能够提供运行中的扫描质量和性能信息。

更新 OpenSSL 技术

OpenSSL 技术预览在 WebInspect 中默认 SSL/TLS 配置。此集成可支持 TLS 1.3，并为被系统管理员限制 Microsoft SCHANNEL 的客户提供选项。

简化 API 扫描

与集成的 WebInspect 可简化 API 扫描，使传感器中的新工作流自动检测身份验证请求。

Fortify SCA扫描结果展示

1.根据漏洞的可能性和严重性进行分类筛选

我们观察fortify扫描的每一条漏洞，会有如下2个标识，严重性(IMPACT)和可能性(LIKEHOOD)，这两个标识的取值是从0.1~5.0，我们可以根据自己的需要筛选展示对应严重性和可能性范围的漏洞，这些漏洞必须修复，其他不严重的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是新闻资讯或者体育类应用，源代码检测工具fortify工具，那么我们可以把阈值调高，增加漏报率，降低误报率。如果我们的应用是金融理财或交易类应用，那么我们可以把阈值调低，增加误报率，降低漏报率