华克斯-fortify代理商

Fortify SCA 集成生态

1、 灵活的部署选项 支持“应用安全即服务”、内部或云端部署

2、集成开发环境（IDE） Eclipse、Visual Studio、JetBrains（包括 IntelliJ）

3、 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild

4、 问题 Bugzilla， Jira， ALM Octane

5、开源安全管理 Sonatype，fortify代理商， Snyk，源代码审计工具fortify代理商， WhiteSource， BlackDuck

6、 代码库 GitHub， Bitet

7、 定制的 Swaggerized API

新一代 Fortify 发布，抢先部署等你来！

此次更新的软件服务包括：Static Code Analyzer、WebInspect、Software Security Center、Software  Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器（SAST），源代码扫描工具fortify代理商，Fortify WebInspect是动态应用安全测试软件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根据应用需求调整扫描深度，以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%，并在需要时保存深度 SAST 扫描。新增功能如下：

1. 增加3级和4级支持

2. 将中间显影扫描速度提高50%（减少报告问题）

3. 减少 Java 和 C/C++ 等类型语言的扫描时间

4. 4级支持提供完整扫描

Fortify介绍    

Fortify是一款强大的静态代码扫描分析工具，其发现代码漏洞缺陷的能力十分强悍，主要是将代码经过编译，依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时，也提供了自定义规则的接口，只要经过正版授权后，便可以在此基础上自定义规则，来增强Fortify SCA的漏洞识别能力，同时经过自定义规则，也可以降低误报，使静态分析的准确度和性。

    默认情况下，Fortify SCA使用安装的安全编码规则包来检查源代码，并定义一系列可能出现的问题，如可者李勇的安全漏洞和不良的编码缺陷。

   安全编码规则中的规则分析受支持语言的和扩展的API包中的函数，并将分析结果记录在Fortify SCA中。每一个问题的解释包含了对问题的描述和建议的解决方案，一边更好的解决程序中的漏洞和缺陷。也可以通过创建自定义规则包来准确地分析特定的应用程序，验证专门的安全规则以及细化Fortify SCA所报告的问题。