fortify版本-华克斯信息

Fortify SSC

无论软件基于桌面端、移动端或者云端，Fortify SSC 都能帮助企业管理软件安全风险，源代码审计工具fortify版本，确保其符合内外部的安全规定。

同时，Fortify SSC 还凭借着的静态/动态安全测试功能，以及主动安全管理的集成框架，帮助企业识别在开发过程、遗留应用程序以及整个软件开发生命周期中的风险，加强防御风险的能力。蕞后，尽管 SAP 开发小组分散办公，但公司团队可以在 Fortify SSC 内整合并跟踪全部结果。

Fortify SCA覆盖规则

以下演示覆盖一个秘钥硬编码的规则：

还是以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例

由于没有加密机和密码托管平台，源代码检测工具fortify版本，数据库密码只能明文写在代码或配置文件里，怎么不让fortify重复报出这种问题呢？

写一条新规则覆盖这个id的规则，源代码扫描工具fortify版本，如下xml：

随便一个不会用到的保存秘钥的变量名pasword，覆盖了这条规则

Fortify SCA如何使用！

安装fortify之后，打开

界面：

选择扫描

他问要不要更新？ 如果你购买了可以选择YES。

选择之后出现如下界面

浏览意思是：扫描之后保存的结果保存在哪个路径。

然后点击下一步。

参数说明：

1、enable clean :把上一次的扫描结果清楚，除非换一个build ID，fortify版本，不然中间文件可能对下一次扫描产生影响。

2、enable translation: 转换，把源码代码转换成nst文件

3、64： 是扫描64位的模式，sca默认扫描是32位模式。

4、-Xmx4000m:4000M大概是4G，制定内存数-Xmx4G ：也可以用G定义这个参数建议加

5、-encoding: 定制编码，UTF-8比较全，工具解析代码的时候字符集转换的比较好，建议加，如果中文注释不加会是乱码。

6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上，不建议加，这样代码显示不全。