Fortify SCA扫描结果展示
1.根据漏洞的可能性和严重性进行分类筛选
我们观察fortify扫描的每一条漏洞,会有如下2个标识,严重性(IMPACT)和可能性(LIKEHOOD),这两个标识的取值是从0.1~5.0,我们可以根据自己的需要筛选展示对应严重性和可能性范围的漏洞,这些漏洞必须修复,其他不严重的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是新闻资讯或者体育类应用,那么我们可以把阈值调高,增加漏报率,降低误报率。如果我们的应用是金融理财或交易类应用,那么我们可以把阈值调低,增加误报率,降低漏报率
Fortify 软件安全中心(SSC)
Micro Focus Fortify 软件安全中心(SSC)是一个集中的管理存储库,为企业的整个应用安全程序提供可视性,源代码审计工具fortify版本,以帮助解决整个软件组合的安全漏洞。
用户可以评估、审计、优先级排序和管理修复工作,安全测试活动,源代码扫描工具fortify版本,并通过管理仪表板和报告来衡量改进,以优化静态和动态应用安全测试结果。因为 Fortify SSC 服务器位于中心位置,可以接收来自不同应用的安全性测试结果(包括静态、动态和实时分析等),有助于准确描述整体企业应用安全态势。
Fortify SSC 可以对扫描结果和评估结果实现关联跟踪,并通过 Fortify Audit Workbench 或 IDE 插件(如 Fortify Plugin for Eclipse, Fortify Extension for Visual Studio)向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中,包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。
Fortify SCA使用
2.1安装完成后桌面没有快捷方式的话,点击左下角windows图片输入 au,点击运行即可。
注意事项
2.2如果打开后出现弹窗点击按钮后出现错误提示的话
2.3 替换安装目录的许可证文件后重新打开软件即可
需要注意的是目录为安装目录,不是压缩包解压目录
2.4 选择java项目或者自动识别项目类型,源代码审计工具fortify版本,这里以自动识别项目类型举例,点击后选中代码目录。
2.5 选择完目录后运行可能会提示是否更新规则包,点击是。
2.6 规则更新完成后会弹出配置本次扫描的弹窗
无特殊配置的话一路next蕞后点击扫描,等待扫描完成。
2.7 导出扫描报告
扫描完成后即可查看扫描出的问题,点击tools ->reports -> 即可生成pdf报告
苏州华克斯-源代码扫描工具fortify版本由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。