Fortify SCA 主要特性

4、 Audit Assistant 的机器学习能力，为您的企业识别相关度的漏洞并确定优先级，从而节省人工审计时间。

应用机器学习的自动化减少了人工审计时间，以扩大静态应用安全性测试的 ROI。好处在于：

在几分钟内提供自动化的审计结果，地减少审计人员的工作量，以置信度对问题进行优先排序，在整个项目中创建准确和一致的审计结果；

以 DevOps 的速度进行审计，整合 SCA 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能；

除此外，还可以减少需要深度人工检查的问题数量；及时发现相关问题，及时排除误报；利用现有资源扩展应用安全等等

5、 ScanCentral 可支持服务器上的轻量级打包，并提供可扩展的、集中的 Fortify 扫描基础设施，源代码审计工具fortify规则，以满足软件安全中心不断增长的现代化开发需求。

6、 调整扫描以实现所需的灵活性，并可通过内部部署、按需部署或混合方式进行扩展等。

新一代Fortify发布，源代码审计工具fortify，抢先部署等你来！

新一代 Fortify 发布，抢先部署等你来！

此次更新的软件服务包括：Static Code Analyzer、WebInspect、Software Security Center、Software  Analysis。其中 Fortify Static Code Analyzer提供静态代码分析器（SAST），Fortify WebInspect是动态应用安全测试软件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根据应用需求调整扫描深度，以更好地控制静态测试的速度和准确性。通过 CI 拨号设置将扫描速度提高50%，并在需要时保存深度 SAST 扫描。新增功能如下：

1. 增加3级和4级支持

2. 将中间显影扫描速度提高50%（减少报告问题）

3. 减少 Java 和 C/C++ 等类型语言的扫描时间

4. 4级支持提供完整扫描

Fortify扫描Android项目

使用插件扫描是一个比较推荐的方式，因为操作简单，源代码审计工具fortify报告中文插件，且环境可靠不需要重新配置。

首先肯定是获取插件，源代码审计工具fortify代理商，我们需要从安装Fortify开始。如果已经安装了也不要紧，直接点击安装到原有目录即可，Fortify会自动适配的。安装步骤基本都使用默认选项，但是在选择组件的环节，我们要记得勾选上我们需要的插件。

上图中红框是给Android Studio使用的插件，是本小节需要使用到的。第二个红框则是一个Visual Studio的插件，后面会用到，这里可以先勾选一下(但要记得Visual Studio的插件只能在Visual Studio已存在时安装，版本也不要选错)。安装后，可以在Fortify安装目录下的plugins﹨IntelliJAnalysis目录中找到我们需要的插件。

然后是第二步，将插件安装到Android Studio上。在Android Studio中打开插件的界面，选择设置的图标，然后选择Install Plugin from Disk...选项，选中前面说到的插件文件。然后重启Android Studio即可生效。

生效后我们可以在Android Studio的标题栏中找到Fortify选项，在Fortify->Analysis Settings...选项中，我们可以配置该插件扫描源码的规则和配置。

蕞后，我们点击Fortify->Analyze Project选项，即可扫描项目并在项目的根目录生成fpr文件

源代码审计工具fortify规则-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业软件等行业。，在苏州工业园区新平街388号的名声不错。欢迎来电垂询，联系人：华克斯。