fortify工具-苏州华克斯公司

fortify相比codeql的优势在于：

商用工具，拥有许多预设规则，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合---规则的扫描。

fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

hp fortify sca采用的x-tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过hp fortify sca持续更新的检查规则（rulepack），让蕞新的弱点可以被发现并修补，源代码检测工具fortify工具，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

fortify sca是自动静态代码分析可帮助开发人员消除漏洞，并构建安全的软件。

主要功能

1、通过集成式 sast，安全编码；通过与 ide 集成，fortify工具，开发人员可以在编码过程中实时发现并修复安全缺陷。

2、覆盖开发人员使用的语言；获得、准确的语言覆盖范围，并实现合规性。

3、启动快速的自动化扫描；启动针对覆盖范围或速度优化过的自动化扫描。

4、以 devops 速度修复问题；利用我们丰富的分析结果，源代码扫描工具fortify工具，深入研究源代码详细信息，使您能够快速分类并修复复杂的安全问题。

5、在 ci/cd 中自动实现安全；自动化扫描，为开发人员---安全。

6、扩展 appsec 程序；借助快速、高度优化的静态扫描，保护自定义的开源代码。