华克斯-源代码检测工具fortify服务商

新一代 Fortify 发布，抢先部署等你来！

此次更新的软件服务包括：Static Code Analyzer、WebInspect、Software Security Center、Software  Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器（SAST），Fortify WebInspect是动态应用安全测试软件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根据应用需求调整扫描深度，以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%，并在需要时保存深度 SAST 扫描。新增功能如下：

1. 增加3级和4级支持

2. 将中间显影扫描速度提高50%（减少报告问题）

3. 减少 Java 和 C/C++ 等类型语言的扫描时间

4. 4级支持提供完整扫描

Fortify SCA快速入门

规则库导入：

所有的扫描都是基于规则库进行的，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下，拷贝后便为扫描建立了默认的规则库。另外，你也可以自定义规则，这些内容将会在以后逐一介绍。

建立和执行扫描任务：

我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：

Java项目：

Fortify SCA对于Java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨auditworkbench.cmd，启动审计工作台就可以直接对Java项目进行静态扫描；另外也可以使用Fortify SCA插件，集成嵌入Eclipse来完成开发过程中的实时扫描；当然，你也可以使用原生的命令行工具完成全部工作，源代码扫描工具fortify服务商，我们这里介绍一个通用的方法，即利用ScanWizard工具导入你的源码项目，通过一系列设置后，会生成一个批处理脚本文件，通过批处理代替手工输入执行命令进行测试。

使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨ScanWizard.cmd启动ScanWizard工具：

Fortify自定义规则

1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器，CustomRulesEditor.cmd，如下图所示：

2). 打开编辑器后，选择File ——>Generate Rule，弹出规则向导框。

3). 自定义规则模板可以按照漏洞类型(Category)和规则类型（Rule Type）进行分类，吉林fortify服务商，不管是何种方式分类，这些模板大体上分为，数据污染源tainted规则，源代码检测工具fortify服务商，数据控制流规则，数据传递规则，以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板，和开发语言的函数特征，源代码审计工具fortify服务商，建立规则就简单了。

4) .选择规则包语言，点击next，然后填写报名，类名，函数名

5). 点击next，设置sink点