fortify扫描操作说明-华克斯-fortify

fortify sca 优势

1、 扫描快又准

? 在开发早期就捕获了大部分代码相关性问题；

? 识别并消除源代码、二进制代码或字节代码中的漏洞；

? 支持 27 种编程语言中 815 种的漏洞类别，并跨越超过 100 万个独立的 api；

?在 owasp 1.2b 基准测验中，fortify静态代码测试工具，真实阳性率为100%，证明了高度的准确性。

2、ci/cd 管道中的安全自动化

? 识别和优先处理构成威胁的漏洞，快速降低风险；

? 与ci/cd 工具充分集成，fortify扫描操作说明，包括 jenkins， alm octane， jira， atlassian bamboo， azure devops，fortify， eclipse 和 microsoft visual studio 等；

? 实时---扫描结果并获得访问建议，通过代码行导航更快地发现漏洞和与审计开展协作。

3、节约开发时间和成本

? 嵌入 sdlc 后，开发时间和成本平均降低 25%，且早期修复漏洞成本比制作/发布后阶段低 30 倍；

? 发现漏洞数是原来的 2 倍，---率降低 95%；（数据来源：)

? 通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。

代码---：fortify sca使用指南

静态代码分析器sca（static code ---yzer）：包含多种语言的安全相关的规则，而对于这些规则相关的违反状况则是sca重点确认的内容。sca可以做到快速准确定位修正场所，同时还可以定制安全规则。

在使用上sca主要按照如下步骤进行：

步骤1: 单独运行sca或者将sca与构建工具进行集成

步骤2: 将代码转换为临时的中间格式

步骤3: 对转换的中间格式的代码进行扫描，生成安全合规性的报告

步骤4: 对结果进行审计，一般通过使用fortify audit workbench打开fpr（fortify project results）文件或者将结果上传至ssc（fortify software security ws=）来进行分析，从而直接看到蕞终的结果信息