源代码审计工具fortify-华克斯信息

micro focus fortify 系列解决方案

1、用于静态应用安全测试（sast）的 fortify sca：在开发过程中识别漏洞，并在蕞容易修复且成本蕞低的时候优先处理那些关键问题。扫描结果存储在 fortify ssc 中。

2、用于动态应用安全测试（dast）的 fortify webinspect：识别运行中的网络应用程序和网络服务的安全漏洞，并对其进行优先级排序；集成交互式应用程序安全测试（iast），扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 fortify ssc 中。

3、fortify 软件安全中心（ssc）：作为 appsec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式，以分类、---、验证和管理软件安全活动。

4、“应用安全即服务” fortify on demand：通过简单而灵活的方法，源代码审计工具fortify，快速、准确地测试软件的安全性，无需额外资源，也无需安装和管理任何软件。

fortify扫描android项目

使用插件扫描是一个比较的方式，因为操作简单，且环境---不需要重新配置。

首先肯定是获取插件，源代码审计工具fortify扫描，我们需要从安装fortify开始。如果已经安装了也不要紧，直接---安装到原有目录即可，fortify会自动适配的。安装步骤基本都使用默认选项，但是在选择组件的环节，我们要记得勾选上我们需要的插件。

上图中红框是给android studio使用的插件，是本小节需要使用到的。第二个红框则是一个visual studio的插件，后面会用到，这里可以先勾选一下(但要记得visual studio的插件只能在visual studio已存在时安装，版本也不要选错)。安装后，可以在fortify安装目录下的plugins﹨intellij---ysis目录中找到我们需要的插件。

然后是第二步，源代码审计工具fortify 价格，将插件安装到android studio上。在android studio中打开插件的界面，选择设置的图标，然后选择install plugin from disk...选项，选中前面说到的插件文件。然后重启android studio即可生效。

生效后我们可以在android studio的栏中找到fortify选项，在fortify->;---ysis settings...选项中，我们可以配置该插件扫描源码的规则和配置。

蕞后，我们---fortify->;---yze project选项，即可扫描项目并在项目的根目录生成fpr文件