Fortify是MicroFocus旗下AST（应用程序安全测试）产品，其产品组合包括：FortifyStaticCodeAnalyzer提供静态代码分析器（SAST），源代码扫描工具fortify版本，FortifyWebInspect是动态应用安全测试软件（DAST），SoftwareSecurityCentre是软件安全中心（SSC）和ApplicationDefender是实时应用程序自我保护（RASP）。Fortify能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现安全监测，Fortify具有源代码安全分析，可定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。FortifySCA如何使用！安装fortify之后，打开界面：选择扫描他问要不要更新？如果你购买了可以选择YES。选择之后出现如下界面浏览意思是：扫描之后保存的结果保存在哪个路径。然后点击下一步。参数说明：1、enableclean:把上一次的扫描结果清楚，除非换一个buildID，不然中间文件可能对下一次扫描产生影响。2、enabletranslation:转换，把源码代码转换成nst文件3、64：是扫描64位的模式，华东fortify版本，sca默认扫描是32位模式。4、-Xmx4000m:4000M大概是4G，制定内存数-Xmx4G：也可以用G定义这个参数建议加5、-encoding:定制编码，UTF-8比较全，工具解析代码的时候字符集转换的比较好，源代码检测工具fortify版本，建议加，源代码审计工具fortify版本，如果中文注释不加会是乱码。6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上，不建议加，这样代码显示不全。FortifySCA优势1、扫描快又准?在开发早期就捕获了大部分代码相关性问题；?识别并消除源代码、二进制代码或字节代码中的漏洞；?支持27种编程语言中815种的漏洞类别，并跨越超过100万个独立的API；?在OWASP1.2b基准测验中，真实阳性率为100%，证明了高度的准确性。2、CI/CD管道中的安全自动化?识别和优先处理构成威胁的漏洞，快速降低风险；?与CI/CD工具充分集成，包括Jenkins，ALMOctane，Jira，AtlassianBamboo，AzureDevOps，Eclipse和MicrosoftVisualStudio等；?实时审查扫描结果并获得访问建议，通过代码行导航更快地发现漏洞和与审计开展协作。3、节约开发时间和成本?嵌入SDLC后，开发时间和成本平均降低25%，且早期修复漏洞成本比制作/发布后阶段低30倍；?发现漏洞数是原来的2倍，误报率降低95%；（数据来源：《MicroFocusFortify2017商业价值可持续交付》)?通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。华东fortify版本-华克斯信息由苏州华克斯信息科技有限公司提供。华东fortify版本-华克斯信息是苏州华克斯信息科技有限公司今年新升级推出的，以上图片仅供参考，请您拨打本页面或图片上的联系电话，索取联系人：华克斯。)