源代码检测工具fortify扫描-华克斯-fortify扫描

Fortify SCA 优势

1、 扫描快又准

? 在开发早期就捕获了大部分代码相关性问题；

? 识别并消除源代码、二进制代码或字节代码中的漏洞；

? 支持 27 种编程语言中 815 种的漏洞类别，并跨越超过 100 万个独立的 API；

?在 OWASP 1.2b 基准测验中，源代码扫描工具fortify扫描，真实阳性率为100%，证明了高度的准确性。

2、CI/CD 管道中的安全自动化

? 识别和优先处理构成威胁的漏洞，快速降低风险；

? 与CI/CD 工具充分集成，包括 Jenkins，源代码检测工具fortify扫描， ALM Octane， Jira， Atlassian Bamboo， Azure DevOps， Eclipse 和 Microsoft Visual Studio 等；

? 实时审查扫描结果并获得访问建议，通过代码行导航更快地发现漏洞和与审计开展协作。

3、节约开发时间和成本

? 嵌入 SDLC 后，开发时间和成本平均降低 25%，且早期修复漏洞成本比制作/发布后阶段低 30 倍；

? 发现漏洞数是原来的 2 倍，误报率降低 95%；（数据来源：《Micro Focus Fortify 2017 商业价值可持续交付》)

? 通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。

Fortify SCA 主要特性

4、 Audit Assistant 的机器学习能力，fortify扫描，为您的企业识别相关度的漏洞并确定优先级，从而节省人工审计时间。

应用机器学习的自动化减少了人工审计时间，以扩大静态应用安全性测试的 ROI。好处在于：

在几分钟内提供自动化的审计结果，地减少审计人员的工作量，以置信度对问题进行优先排序，在整个项目中创建准确和一致的审计结果；

以 DevOps 的速度进行审计，整合 SCA 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能；

除此外，还可以减少需要深度人工检查的问题数量；及时发现相关问题，及时排除误报；利用现有资源扩展应用安全等等

5、 ScanCentral 可支持服务器上的轻量级打包，并提供可扩展的、集中的 Fortify 扫描基础设施，以满足软件安全中心不断增长的现代化开发需求。

6、 调整扫描以实现所需的灵活性，并可通过内部部署、按需部署或混合方式进行扩展等。

Fortify SCA快速入门

规则库导入：

所有的扫描都是基于规则库进行的，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下，拷贝后便为扫描建立了默认的规则库。另外，你也可以自定义规则，这些内容将会在以后逐一介绍。

建立和执行扫描任务：

我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：

Java项目：

Fortify SCA对于Java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨d，启动审计工作台就可以直接对Java项目进行静态扫描；另外也可以使用Fortify SCA插件，集成嵌入Eclipse来完成开发过程中的实时扫描；当然，你也可以使用原生的命令行工具完成全部工作，我们这里介绍一个通用的方法，即利用ScanWizard工具导入你的源码项目，通过一系列设置后，会生成一个批处理脚本文件，通过批处理代替手工输入执行命令进行测试。

使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨d启动ScanWizard工具：