Fortify SCA安全合规问题规则定制

《互联网个人信息保护指南》里指出重要数据在存储过程中应保密，包括但不限于鉴别数据和个人信息。而我们在实际审查中发现，有的应用为了排查问题方便，fortify版本，在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现，源代码检测工具fortify版本，而fortify默认的规则是无法识别shenfenzheng号这种信息的，我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别

1.增加对合规信息的识别

2.定制漏洞描述和修复建议

SAP 可以按需定制 Fortify 解决方案

通过增强应用程序的安全性，Fortify 保护 SAP 及其客户免受 IT 软件相关的财务损失、业务中断和对企业品牌力的损害。

此外，由于 Fortify 能有效地对新开发的应用程序和以前的修订版本执行静态分析，源代码审计工具fortify版本，并且可以在软件开发生命周期的早期识别和修复漏洞，SAP 的修复总成本也进一步降低。它迄今为止扫描已超过1.78亿行代码。

此外，SAP 可以按需定制 Fortify 解决方案，以满足其客户的具体要求。来自 Micro Focus 现场实施的咨询及帮助，更是 SAP 试点项目成功的关键要素。通过 Micro Focus Services 关于 Fortify 软件工具和流程的深入培训，开发人员对安全编码实践的认识得到了显著提高，增强 SAP 开发人员的技能，并改善了开发流程。

Fortify代码扫描使用教程

1、进入Fortify安装目录，再进入bin目录，双击d启动程序

2、打开扫描窗口，点击Scan Java Project

3、选择要扫描的项目目录，点击确定按钮

4、弹出java代码版本选择窗口，选择版本后，点击OK

5、弹出审计向导窗口，点击Scan按钮开始扫描

6、扫描开始，等待扫描结束，等待时间根据项目大小而定，可能时间会很长

7、扫描结束后，显示扫描结果。

苏州华克斯公司-源代码审计工具fortify版本由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗，信誉可靠，在江苏 苏州 的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善创新理念和您携手步入辉煌，共创美好未来！