江苏fortify报告中文插件-苏州华克斯信息

C/C++源码扫描系列- Fortify 篇

环境搭建

本文的分析方式是在 Linux 上对源码进行编译、扫描，然后在 Windows 平台对扫描结果进行分析，所以涉及 Windows 和 Linux 两个平台的环境搭建。

Windows搭建

首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装

安装完成后，把 fortify-common-20.1.1.0007.jar 拷贝 Core﹨lib 进行，然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core﹨config﹨rules 的路径下，该路径下保存的是Fortify的默认规则库。

ExternalMetadata 下的文件也拷贝到 Core﹨config﹨ExternalMetadata 目录即可

执行 d 即可进入分析源码扫描结果的IDE.

Fortify SCA 集成生态

1、 灵活的部署选项 支持“应用安全即服务”、内部或云端部署

2、集成开发环境（IDE） Eclipse、Visual Studio、JetBrains（包括 IntelliJ）

3、 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild

4、 问题 Bugzilla， Jira， ALM Octane

5、开源安全管理 Sonatype， Snyk， WhiteSource， BlackDuck

6、 代码库 GitHub，源代码扫描工具fortify报告中文插件， Bitet

7、 定制的 Swaggerized API

Fortify是Micro Focus旗下AST （应用程序安全测试）产品，江苏fortify报告中文插件，其产品组合包括：Fortify Static Code Analyzer提供静态代码分析器（SAST），源代码审计工具fortify报告中文插件，Fortify WebInspect是动态应用安全测试软件（DAST），Software Security Centre是软件安全中心（SSC）和 Application Defender 是实时应用程序自我保护（RASP）。

Fortify 能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现安全监测，源代码检测工具fortify报告中文插件，Fortify具有源代码安全分析，可定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。