Foritfy SCA主要包含的五大分析引擎：

数据流引擎：跟踪，源代码审计工具fortify扫描，记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

结构引擎：分析程序上下文环境，源代码检测工具fortify扫描，结构中的安全问题。

控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

特有的X-Tier?：跨跃项目的上下层次，贯穿程序来综合分析问题。

Fortify SAST 新增语言支持

提供27种以上的主要语言及其框架的准确支持和敏捷更新。之后将添加更多新的语言版本，fortify扫描，从根本上改进、简化工作方式。以下语言更新已添加到 Fortify Static 代码分析器：

.NET

增加对 .NET 5.0、C# 9、 Blazor 语言和框架的支持。

MSBuild Support Update

增加对16.8和16.9版本的支持。

Go

增加对1.15和1.16版本的支持；增加对 GOPROXY 环境变量的支持。

Java

更新 JSP 翻译以减少误报；改进字节码分析。

JavaScript

增加对 TypeScript 4.1及Angular 10、11语言和框架的支持。

Kotlin

增加对 Kotlin 1.4.20版本的支持。

PHP

增加对 PHP 7.2、7.3、7.4及8.0版本的支持。

Python

增加对Python 3.9、Django 3.1语言和框架的支持。

Swift/Obj-C

增加对 Xcode 12.4版本的支持。

Operating Systems (Linux)

增加对以下 Linux 服务器的支持：1. SUSE Linux Enterprise Server 15

2. Red Hat Enterprise Linux 8.2

3. CentOS Linux 7.6-1810 and 8.2-2004

4. Ubuntu 20.04.1 LTS

Micro Focus Visual COBOL (Technology Preview)

增加对 Micro Focus Visual COBOL 6.0.版本的支持。

C/C++ (Technology Preview)

使用新的基于 Clang 的翻译改进对 C++11 结构的支持。

Fortify自定义规则

1). 在fortify SCA安装的bin目录下找到打开自定义规则编辑器，d，如下图所示：

2). 打开编辑器后，选择File ——>Generate Rule，弹出规则向导框。

3). 自定义规则模板可以按照漏洞类型(Category)和规则类型（Rule Type）进行分类，不管是何种方式分类，这些模板大体上分为，数据污染源tainted规则，数据控制流规则，数据传递规则，以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板，和开发语言的函数特征，建立规则就简单了。

4) .选择规则包语言，点击next，源代码扫描工具fortify扫描，然后填写报名，类名，函数名

5). 点击next，设置sink点

fortify扫描-华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业软件等行业。，在苏州工业园区新平街388号的名声不错。欢迎来电垂询，联系人：华克斯。