源代码审计工具fortify扫描-苏州华克斯公司

Fortify SCA扫描功能分析

1、能够跟踪的输入数据，直到该数据被不安全使用的全过程中，分析数据使用中的安全隐患。

2、安全漏洞分析需拥有目前业界和的代码漏洞规则库，源代码扫描工具fortify扫描，能够检测的漏洞类型不少于948种。

3、支持检测业界的代码安全漏洞，工具能够支持检测的漏洞必须依从于的和规范，如OWASP Th 10 2017、 PCI DSS、PCI SSF、GDPR、MISRA、DISA、FISMA、CWE、SANS25等。

4、漏洞扫描规则支持客户自定义，同时需提供友好的图形化的自定义向导和编辑器，自动生成规则脚本。

Fortify SCA快速入门

规则库导入：

所有的扫描都是基于规则库进行的，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下，拷贝后便为扫描建立了默认的规则库。另外，你也可以自定义规则，这些内容将会在以后逐一介绍。

建立和执行扫描任务：

我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：

Java项目：

Fortify SCA对于Java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨auditworkbench.cmd，贵州fortify扫描，启动审计工作台就可以直接对Java项目进行静态扫描；另外也可以使用Fortify SCA插件，集成嵌入Eclipse来完成开发过程中的实时扫描；当然，源代码审计工具fortify扫描，你也可以使用原生的命令行工具完成全部工作，我们这里介绍一个通用的方法，即利用ScanWizard工具导入你的源码项目，通过一系列设置后，会生成一个批处理脚本文件，通过批处理代替手工输入执行命令进行测试。

使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨ScanWizard.cmd启动ScanWizard工具：

Fortify SCA 主要特性

1、覆盖大部分对友好的语言，支持：

ABAP/BSP、Apex、ASP.NET、C# (.NET)、C/ C++、Classic、ASP（与 VBScript）、COBOL、ColdFusion CFML、Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等

2、 灵活的部署选项适应团队开发环境，

比如：Fortify On Demand 允许团队在完全基于 SaaS 的环境中工作；Fortify Hosted 通过在隔离的虚拟环境中工作，完全控制用户数据，为您提供 SaaS 和内部部署的效果；Fortify On-Prem 允许团队对增强解决方案的所有方面有的控制权。

3、 安全助理，为开发人员提供实时的代码、安全分析和结果。

它提供了结构和配置分析器，这些分析器是专门为速度和效率而建立的，以支持我们即时的安全反馈工具；安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。

安全助理还可以作为开发人员的额外工作助手，源代码检测工具fortify扫描，与静态扫描结合使用，帮助获得更的安全问题视图。目前，所有 Fortify SCA 和Fortify On-Prem SCA 的客户无需额外的许可证或费用，即可使用安全助理。