源代码检测工具fortify工具-fortify工具-华克斯

Fortify常见问题解决方法

内存不足问题

在应用Fortify SCA实施源代码扫描过程中内存不足是分析器（sourceanalyzer）经常报出的一类问题，如下：

扫描过程中：

1、com.fortify.sca.analyzer.AbortedException: There is not enough memory available

2、to complete analysis.  For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我们必须对JVM参数进行调整，增加虚拟器内存大小。

（1）确认安装64位的Fortify SCA程序；（这是一个众所周知的JVM问题，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录（就算你安装了64位的Fortify SCA程序，该程序默认的jre仍然是32位的）；

Fortify SAST 新增语言支持

提供27种以上的主要语言及其框架的准确支持和敏捷更新。之后将添加更多新的语言版本，源代码检测工具fortify工具，从根本上改进、简化工作方式。以下语言更新已添加到 Fortify Static 代码分析器：

.NET

增加对 .NET 5.0、C# 9、ASP.NET Blazor 语言和框架的支持。

MSBuild Support Update

增加对16.8和16.9版本的支持。

Go

增加对1.15和1.16版本的支持；增加对 GOPROXY 环境变量的支持。

Java

更新 JSP 翻译以减少误报；改进字节码分析。

JavaScript

增加对 TypeScript 4.1及Angular 10、11语言和框架的支持。

Kotlin

增加对 Kotlin 1.4.20版本的支持。

PHP

增加对 PHP 7.2、7.3、7.4及8.0版本的支持。

Python

增加对Python 3.9、Django 3.1语言和框架的支持。

Swift/Obj-C

增加对 Xcode 12.4版本的支持。

Operating Systems (Linux)

增加对以下 Linux 服务器的支持：1. SUSE Linux Enterprise Server 15

2. Red Hat Enterprise Linux 8.2

3. CentOS Linux 7.6-1810 and 8.2-2004

4. Ubuntu 20.04.1 LTS

Micro Focus Visual COBOL (Technology Preview)

增加对 Micro Focus Visual COBOL 6.0.版本的支持。

C/C++ (Technology Preview)

使用新的基于 Clang 的翻译改进对 C++11 结构的支持。

Fortify相比codeql的优势在于：

商用工具，拥有许多预设规则，fortify工具，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。

Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，源代码扫描工具fortify工具，甚至一些规则编写的语法都很相似。

HP Fortify SCA采用的X-Tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则（Rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。