华东fortify-苏州华克斯

让 SAP “一眼倾心”，Fortify 的魅力难以抗拒！

基于 SAP 的产品安全战略要求，源代码检测工具fortify采购，开发过程中的静态分析要确保所有应用程序的安全性与抗击网络威胁的能力，从而保护客户和公司的业务安全。Micro Focus Fortify 是助其成功的关键因素。

SAP 用自主维护的静态分析工具来分析以专有 ABAP 语言编写的应用程序。但对于 Java（ABAP 后 SAP 蕞常用的编程语言），源代码检测工具fortify版本，公司决定采纳第三方的服务。他们的选择是行业的leader——Micro Focus Fortify，现在，SAP 已将 Fortify 完全整合到他们的开发全生命周期之中。

于是，SAP 与 Fortify 一起设计和实施了应用静态分析的综合解决方案，即基于 Fortify 软件安全中心（SSC）和 Fortify 静态代码分析器（SCA）的综合解决方案，华东fortify，以 Java、C#、JSP 等语言为主。

Fortify相比codeql的优势在于：

商用工具，拥有许多预设规则，比较成熟。规则开发模式比较局限，源代码扫描工具fortify 价格，但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。

Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

HP Fortify SCA采用的X-Tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则（Rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

使用Fortify SCA

1、扫描 Java 项目

“Scan Java Project（扫描 Java 项目）”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单个目录中的小型 Java 项目。

2、扫描其他项目

您可以使用“Advanced Scan（扫描）”向导转换和分析 Java、JavaScript、PHP、ASP、.NET 和 SQL 项目。对于源代码位于多个目录中、具有特殊转换或构建条件，或包含需要从项目中排除的文件的 Java 项目，应使用“Advanced Scan（扫描）”向导。