FortifySCA快速入门规则库导入：所有的扫描都是基于规则库进行的，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下，拷贝后便为扫描建立了默认的规则库。另外，你也可以自定义规则，这些内容将会在以后逐一介绍。建立和执行扫描任务：我们分别通过Java、.NetC#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：Java项目：FortifySCA对于Java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，源代码检测工具fortifysca，常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨auditworkbench.cmd，启动审计工作台就可以直接对Java项目进行静态扫描；另外也可以使用FortifySCA插件，集成嵌入Eclipse来完成开发过程中的实时扫描；当然，你也可以使用原生的命令行工具完成全部工作，我们这里介绍一个通用的方法，即利用ScanWizard工具导入你的源码项目，通过一系列设置后，源代码审计工具fortifysca，会生成一个批处理脚本文件，通过批处理代替手工输入执行命令进行测试。使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨ScanWizard.cmd启动ScanWizard工具：进行安全扫描_FortifySca自定义扫描规则前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况，源代码扫描工具fortifysca，而不必为所有这些假想情况经过必要的计算来执行这些代码。那么代码安全扫描工具到底应该怎么使用？以下是参考fortifysca的作者给出的使用场景：常规安全问题(如代码注入类漏洞)这块，目前的fortifysca规则存在较多误报，通过规则优化降低误报。而在特定安全问题上，越来越多的合规要求需要满足(如等保、国信办、银保监要求)，自带的扫描规则肯定检测不到这些问题，需要自定义扫描规则，fortifysca，从合规的角度来展示安全风险。常规安全问题误报优化目前开发人员反馈蕞多的问题是：代码安全扫描工具误报较多，我们先看下代码安全安全分析的过程，如下图示：Fortify“AnalysisTrace（分析跟踪）”面板：当您选择某个问题后，AnalysisTrace（分析跟踪）面板会显示相关的traceoutput。通常情况下，这是一系列进程点，显示了分析器是如何找到该问题的。对于数据流和控制流问题，这一系列点会以执行顺序显示。例如，如果您选择某个与可能被数据流相关的问题，AnalysisTrace（分析跟踪）面板会显示这段源代码中数据流的移动方向。“AnalysisTrace（分析跟踪）”面板使用以下图标来显示本段源代码中数据流的移动方式：表1：分析跟踪图标fortifysca-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情，华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场，衷心希望能与社会各界合作，共创成功，共创辉煌。相关业务欢迎垂询，联系人：华克斯。)