Fortify SCA 主要特性

4、 Audit Assistant 的機器學習能力，為您的企業識別相關度的漏洞并確定優先級，從而節省人工審計時間。

應用機器學習的自動化減少了人工審計時間，以擴大靜態應用安全性測試的 ROI。好處在于：

在幾分鐘內提供自動化的審計結果，地減少審計人員的工作量，以置信度對問題進行優先排序，在整個項目中創建準確和一致的審計結果；

以 DevOps 的速度進行審計，整合 SCA 以構建服務器、源代碼管理服務器和更頻繁地掃描得出即時結果成為可能；

除此外，還可以減少需要深度人工檢查的問題數量；及時發現相關問題，及時排除誤報；利用現有資源擴展應用安全等等

5、 ScanCentral 可支持服務器上的輕量級打包，并提供可擴展的、集中的 Fortify 掃描基礎設施，以滿足軟件安全中心不斷增長的現代化開發需求。

6、 調整掃描以實現所需的靈活性，并可通過內部部署、按需部署或混合方式進行擴展等。

Fortify編寫自定義規則原理

要編寫有效的自定義規則，就必須熟悉一直的安全漏洞類別和通常與他們相關的函數類型。深入理解各類經常出現在特定類型漏洞的函數，有利于在編寫自定義規則過程中能夠準確地找到與安全相關的函數。任何一門語言，都有其龐大的開源框架和lib庫。所以自定義規則，既要精通安全漏洞原理，又要熟練掌握一門或幾門開發語言，一般自定義規則用的比較多的語言有java、C/C++、PHP等。其次必須識別與安全相關的函數，并熟悉這些函數的特性以此來確定能夠體現各個函數具體行為和與之相關的漏洞類別的正確規則形式。一旦確定好了這種聯系，使用自定義規則編輯器來創建規則就相對簡單了。

Fortify安裝使用簡易教程

Fortify SCA是一個靜態源代碼安全測試工具。它通過內置的五大主要分析引擎對源代碼進行靜態的分析和檢測，分析的過程中與其特有的軟件安全漏洞規則集進行地匹配、查找。

好安裝包后，雙擊安裝應用程序

點擊Next進行下一步

接受協議，點擊Next

選擇安裝位置或者默認位置，點擊Next

勾選你要安裝的插件，點擊Next下一步

選擇cense，點擊下一步

選擇更新服務器，這里可以不用填寫

Fortify審計界面概述

下圖顯示了“Auditing（審計）”界面中的 Webgoat FPR 文件示例。

Audit Workbench 界面：

Audit Workbench 界面由以下幾個面板組成：

“Issues（問題）”面板

“Analysis Trace（分析跟蹤）”面板

“Project Summary（項目摘要）”面板

“Source Code Viewer（源代碼查看器）”面板

“Function（函數）”面板

“Issue Auditing（問題審計）”面板

“Issues（問題）”面板

使用 Issues（問題）面板，您可以對希望審計的問題進行分組和選擇。該面板由下列元素組成：

“Filter Set（過濾器組）”下拉列表

“Folders（文件夾）”選項卡

Group by（分組方式）

“Search（搜索）”框