源代码扫描工具fortify规则-华克斯信息

Fortify SCA扫描结果展示

1.根据漏洞的可能性和严重性进行分类筛选

我们观察fortify扫描的每一条漏洞，会有如下2个标识，源代码扫描工具fortify规则，严重性(IMPACT)和可能性(LIKEHOOD)，这两个标识的取值是从0.1~5.0，我们可以根据自己的需要筛选展示对应严重性和可能性范围的漏洞，这些漏洞必须修复，其他不严重的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是新闻资讯或者体育类应用，源代码审计工具fortify规则，那么我们可以把阈值调高，增加漏报率，华东fortify规则，降低误报率。如果我们的应用是金融理财或交易类应用，那么我们可以把阈值调低，增加误报率，降低漏报率

Fortify SSC

无论软件基于桌面端、移动端或者云端，Fortify SSC 都能帮助企业管理软件安全风险，确保其符合内外部的安全规定。

同时，Fortify SSC 还凭借着的静态/动态安全测试功能，以及主动安全管理的集成框架，帮助企业识别在开发过程、遗留应用程序以及整个软件开发生命周期中的风险，加强防御风险的能力。蕞后，尽管 SAP 开发小组分散办公，但公司团队可以在 Fortify SSC 内整合并跟踪全部结果。

fottify全名叫：Fortify SCA ，是HP的产品 ，是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。

FortifySCA支持的21语言，分别是如下图：