fortify服务商-苏州华克斯

micro focus fortify 系列解决方案

1、用于静态应用安全测试（sast）的 fortify sca：在开发过程中识别漏洞，源代码扫描工具fortify服务商，并在蕞容易修复且成本蕞低的时候优先处理那些关键问题。扫描结果存储在 fortify ssc 中。

2、用于动态应用安全测试（dast）的 fortify webinspect：识别运行中的网络应用程序和网络服务的安全漏洞，并对其进行优先级排序；集成交互式应用程序安全测试（iast），扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 fortify ssc 中。

3、fortify 软件安全中心（ssc）：作为 appsec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式，以分类、---、验证和管理软件安全活动。

4、“应用安全即服务” fortify on demand：通过简单而灵活的方法，快速、准确地测试软件的安全性，无需额外资源，源代码审计工具fortify服务商，也无需安装和管理任何软件。

fortify sca如何使用！

安装fortify之后，打开

界面：

选择扫描

他问要不要更新？ 如果你购买了可以选择yes。

选择之后出现如下界面

浏览意思是：扫描之后保存的结果保存在哪个路径。

然后---下一步。

参数说明：

1、enable clean :把上一次的扫描结果清楚，除非换一个build id，不然中间文件可能对下一次扫描产生影响。

2、enable translation: 转换，把源码代码转换成nst文件

3、64： 是扫描64位的模式，sca默认扫描是32位模式。

4、-xmx4000m:4000m大概是4g，制定内存数-xmx4g ：也可以用g定义这个参数建议加

5、-encoding: 定制编码，utf-8比较全，工具解析代码的时候字符集转换的比较好，建议加，如果中文注释不加会是乱码。

6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上，不建议加，这样代码显示不全。