苏州华克斯公司-源代码扫描工具fortify规则

fortify 审计

fortify扫描后生成的fpr文件，就是我们审计的目标。fortify会将源码信息和识别到的风险记录下来。

使用fortify audit workbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印imei的风险项，左下角可以看到整个数据链路，了解数据的传递路径。视图中上位置是代码窗口，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，往往是因为fortify默认的解析字节码是gbk，可以在选中代码文件后，---edit->;set encoding...选项，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全---确定问题，识别风险。右侧的则是所有依赖的代码的路径。

在我们审计过程中，如果发现问题是---，可以右键风险项，选择hide in awb，即可隐藏---问题。

然后是生成报告，我们可以选择生成两种报告：

birt是统计报告，西南fortify规则，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是---的项，是否显示。

legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，源代码检测工具fortify规则，可以提供给业务确认风险。

fortify 软件安全中心（ssc）

micro focus fortify 软件安全中心（ssc）是一个集中的管理存储库，为企业的整个应用安全程序提供可视性，以帮助解决整个软件组合的安全漏洞。

用户可以评估、审计、优先级排序和管理修复工作，源代码扫描工具fortify规则，安全测试活动，并通过管理仪表板和报告来衡量改进，以优化静态和动态应用安全测试结果。因为 fortify ssc 服务器位于中心位置，可以接收来自不同应用的安全性测试结果（包括静态、动态和实时分析等），有助于准确描述整体企业应用安全态势。

fortify ssc 可以对扫描结果和评估结果实现关联---，并通过 fortify audit workbench 或 ide 插件（如 fortify plugin for eclipse， fortify extension for visual studio）向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷---系统中，包括 alm octane、jira、tfs/vsts 和 bugzilla 等。