苏州华克斯-源代码审计工具fortify sca

代码质量利器：Fortify SCA使用指南

静态代码分析器SCA（Static Code Analyzer）：包含多种语言的安全相关的规则，而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所，同时还可以定制安全规则。

在使用上SCA主要按照如下步骤进行：

步骤1: 单独运行SCA或者将SCA与构建工具进行集成

步骤2: 将代码转换为临时的中间格式

步骤3: 对转换的中间格式的代码进行扫描，生成安全合规性的报告

步骤4: 对结果进行审计，一般通过使用Fortify Audit Workbench打开FPR（Fortify Project Results）文件或者将结果上传至SSC（Fortify Software Security Center）来进行分析，北京fortify sca，从而直接看到蕞终的结果信息

Fortify ScanCentral DAST 新增功能

借助下一代动态应用程序安全测试功能，源代码审计工具fortify sca，可以使用 ScanCentral 和现有的 Fortify Jenkins 及 Fortify Azure 插件在 CI/CD 流程中启用、扩展和自动化 DAST，从而创建更的 AppSec 方法。ScanCentral DAST 新增功能如下：

使用功能性应用程序安全测试 (FAST)

FAST 以支持 CI/CD 的方式捕获功能测试流量并将其发送到 ScanCentral DAST，进行有针对性的 DAST 扫描。与 IAST 不同，FAST 不受创建测试人员的想法限制。FAST 扫描应用程序，继续查找功能测试未公开的所有内容。

简化 API 扫描

在21.1.0版本中，源代码扫描工具fortify sca， 集成的ScanCentral DAST 可以简化 API 扫描，使WebInspect 传感器中的新工作流自动检测身份验证请求。

增加 Hacker Level Insights

Hacker Level Insights 是一个新框架，可对应用程序进行安全洞察。21.1.0版本中也包含了对 JavaScript 客户端框架的检测。

配置数据保留策略

在应用程序或扫描级别中配置数据保留策略，允许自动清除陈旧数据，以支持 ScanCentral DAST 数据库维护及高使用环境中的系统性能。

防止应用程序中断

如果正在运行的扫描发生了中断，或强制完成扫描但未启动新扫描时，ScanCentral DAST 将确保不会中断应用程序和扫描过程。

提供基本设置功能

基本设置使 ScanCentral DAST 管理员能够跨所有应用程序或特定应用程序扫描设置模板。管理员可以预先配置扫描模板并将其提供给用户，使用户在不了解安全知识的情况下也能扫描他们的应用程序。

SAP 可以按需定制 Fortify 解决方案

通过增强应用程序的安全性，Fortify 保护 SAP 及其客户免受 IT 软件相关的财务损失、业务中断和对企业品牌力的损害。

此外，由于 Fortify 能有效地对新开发的应用程序和以前的修订版本执行静态分析，并且可以在软件开发生命周期的早期识别和修复漏洞，SAP 的修复总成本也进一步降低。它迄今为止扫描已超过1.78亿行代码。

此外，SAP 可以按需定制 Fortify 解决方案，以满足其客户的具体要求。来自 Micro Focus 现场实施的咨询及帮助，更是 SAP 试点项目成功的关键要素。通过 Micro Focus Services 关于 Fortify 软件工具和流程的深入培训，开发人员对安全编码实践的认识得到了显著提高，增强 SAP 开发人员的技能，并改善了开发流程。