华克斯信息-源代码审计工具fortify扫描

Fortify SCA扫描结果展示

1.根据漏洞的可能性和严重性进行分类筛选

我们观察fortify扫描的每一条漏洞，会有如下2个标识，源代码检测工具fortify扫描，严重性(IMPACT)和可能性(LIKEHOOD)，这两个标识的取值是从0.1~5.0，我们可以根据自己的需要筛选展示对应严重性和可能性范围的漏洞，这些漏洞必须修复，其他不严重的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是新闻资讯或者体育类应用，那么我们可以把阈值调高，增加漏报率，降低误报率。如果我们的应用是金融理财或交易类应用，那么我们可以把阈值调低，增加误报率，降低漏报率

Fortify常见问题解决方法

内存不足问题

在应用Fortify SCA实施源代码扫描过程中内存不足是分析器（sourceanalyzer）经常报出的一类问题，福建fortify扫描，如下：

扫描过程中：

1、com.a.analyzer.AbortedException: There is not enough memory available

2、to complete analysis.  For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我们必须对JVM参数进行调整，源代码扫描工具fortify扫描，增加虚拟器内存大小。

（1）确认安装64位的Fortify SCA程序；（这是一个众所周知的JVM问题，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录（就算你安装了64位的Fortify SCA程序，源代码审计工具fortify扫描，该程序默认的jre仍然是32位的）；

Fortify 软件安全中心（SSC）

Micro Focus Fortify 软件安全中心（SSC）是一个集中的管理存储库，为企业的整个应用安全程序提供可视性，以帮助解决整个软件组合的安全漏洞。

用户可以评估、审计、优先级排序和管理修复工作，安全测试活动，并通过管理仪表板和报告来衡量改进，以优化静态和动态应用安全测试结果。因为 Fortify SSC 服务器位于中心位置，可以接收来自不同应用的安全性测试结果（包括静态、动态和实时分析等），有助于准确描述整体企业应用安全态势。

Fortify SSC 可以对扫描结果和评估结果实现关联跟踪，并通过 Fortify Audit Workbench 或 IDE 插件（如 Fortify Plugin for Eclipse， Fortify Extension for Visual Studio）向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中，包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。