fortify扫描-苏州华克斯

Fortify SCA 主要特性

4、 Audit Assistant 的机器学习能力，为您的企业识别相关度的漏洞并确定优先级，从而节省人工审计时间。

应用机器学习的自动化减少了人工审计时间，源代码检测工具fortify扫描，以扩大静态应用安全性测试的 ROI。好处在于：

在几分钟内提供自动化的审计结果，地减少审计人员的工作量，以置信度对问题进行优先排序，在整个项目中创建准确和一致的审计结果；

以 DevOps 的速度进行审计，整合 SCA 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能；

除此外，还可以减少需要深度人工检查的问题数量；及时发现相关问题，及时排除误报；利用现有资源扩展应用安全等等

5、 ScanCentral 可支持服务器上的轻量级打包，并提供可扩展的、集中的 Fortify 扫描基础设施，以满足软件安全中心不断增长的现代化开发需求。

6、 调整扫描以实现所需的灵活性，并可通过内部部署、按需部署或混合方式进行扩展等。

Fortify “Function（函数）”面板：

Function（函数）面板显示了项目中的函数/方法列表。使用“Function（函数）”面板可找出该函数在源代码中的位置，了解函数是否应用和匹配某个规则，以及编写和验证自定义规则。

“Function（函数）”面板具有以下选项：

Show（显示）：确定显示在该列表中的函数。

Group by（分组方式）：将函数归类到各个包和类中，显示层次结构或直接显示所有函数而不进行分组。

Include unused funct（包括未使用的函数）：显示源代码中的每个函数。默认情况下，列表中不会包含未使用的函数。

Fortify SCA扫描结果展示

1.根据漏洞的可能性和严重性进行分类筛选

我们观察fortify扫描的每一条漏洞，会有如下2个标识，严重性(IMPACT)和可能性(LIKEHOOD)，这两个标识的取值是从0.1~5.0，fortify扫描，我们可以根据自己的需要筛选展示对应严重性和可能性范围的漏洞，这些漏洞必须修复，源代码审计工具fortify扫描，其他不严重的或者难以利用的漏洞可以作为中低危漏洞做选择性修复。如果我们的应用是新闻资讯或者体育类应用，那么我们可以把阈值调高，增加漏报率，降低误报率。如果我们的应用是金融理财或交易类应用，那么我们可以把阈值调低，增加误报率，降低漏报率