Fortify 22.2.0 中的新增功能

Fortify SSC软件安全中心

以下功能已添加到 Fortify 软件安全中心。

优先级覆盖功能

管理员现在可以允许用户更改或覆盖分配给问题的优先级值。随着优先级覆盖功能的引入，广西fortify版本，引擎优先级选项被添加到分组依据菜单中。此分组选择根据标识问题的引擎分配的原始优先级值返回问题。

确定ScanCentral SAST 作业的优先级

在此版本中，您可以从 SCANCENTRAL SAST 选项卡将挂起的扫描请求移动到作业队列中的di一个位置。有关详细信息，请参阅用户指南中的“确定 ScanCentral SAST 扫描请求的优先级”。

支持 Kubernetes 部署的 Tomcat 访问日志模式

Fortify Software Security Center 现在支持更改 Kubernetes 部署的 Tomcat 访问日志模式。有关详细信息，请参阅用户指南中的“为 Docker 镜像上的其他字段配置 Apache Tomcat 访问日志”。

SonarQube和Fortify的区别对比

一直以来，源代码审计工具fortify版本，有很多用户在问，SoanrQube和Fortify都是白盒的源代码扫描工具，这两个产品有什么不一样的地方呢？苏州华克斯信息科技有限公司做为SonarQube和Fortify这两个产品在中国的he心合作伙伴，希望下边的内容能解答您的疑惑。

SonarQube是一个代码质量分析平台，便于管理代码的质量，可检查出项目代码的漏洞和潜在的逻辑问题。同时，它提供了丰富的插件，支持多种语言的检测。

主要的he心价值体现在如下几个方面：

?检查代码是否遵循编程标准：如命名规范，编写的规范等。

?检查设计存在的潜在缺陷：SonarQube通过插件Findbugs等工具检测代码存在的缺陷。

?检测代码的重复代码量：SonarQube可以展示项目中存在大量复zhi粘贴的代码。

?检测代码中注释的程度：源码注释过多或者太少都不好，影响程序的可读可理解性。

?检测代码中包类之间的关系：分析类之间的关系是否合理，复杂度情况。  

Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。

SonarQube从七个维度来分析代码质量问题：

可靠性

安全性

可维护性

覆盖率

重复

大小

复杂度

问题

单论代码分析能力，源代码扫描工具fortify版本，拿SonarJava举例，源代码扫描工具fortify版本，对于大多数zui佳实践类型的问题，比如不该使用MD5，不要用主线程sleep等，都还是查的不错。但是真正严重的安全漏洞，比如SQL注入之类的污点传播类问题，一般涉及跨文件，函数，以及涉及对虚函数、数组、容器的处理，还要识别通过框架等配置的数据处理逻辑，那就无能为力。

这也是SonarQube分析器跟Fortify工具的差距所在。

苏州华克斯信息-广西fortify版本由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!