C/C++源码扫描系列- Fortify 篇

环境搭建

本文的分析方式是在 Linux 上对源码进行编译、扫描，然后在 Windows 平台对扫描结果进行分析，源代码扫描工具fortify服务商，所以涉及 Windows 和 Linux 两个平台的环境搭建。

Windows搭建

首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装

安装完成后，把 fortify-common-20.1.1.0007.jar 拷贝 Core﹨lib 进行，源代码扫描工具fortify服务商，然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core﹨config﹨rules 的路径下，该路径下保存的是Fortify的默认规则库。

ExternalMetadata 下的文件也拷贝到 Core﹨config﹨ExternalMetadata 目录即可

执行 d 即可进入分析源码扫描结果的IDE.

Fortify SCA安全合规问题规则定制

《互联网个人信息保护指南》里指出重要数据在存储过程中应保密，包括但不限于鉴别数据和个人信息。而我们在实际审查中发现，有的应用为了排查问题方便，在服务器中间件Log里记录了用户的姓名、shenfenzheng号、yinhangka号、等敏感信息。这种问题可以通过自动化代码审查发现，fortify服务商，而fortify默认的规则是无法识别shenfenzheng号这种信息的，我们可以新建CharacterizationRule来完成对shenfenzheng标识的识别

1.增加对合规信息的识别

2.定制漏洞描述和修复建议

让 SAP “一眼倾心”，Fortify 的魅力难以抗拒！

基于 SAP 的产品安全战略要求，源代码审计工具fortify服务商，开发过程中的静态分析要确保所有应用程序的安全性与抗击网络威胁的能力，从而保护客户和公司的业务安全。Micro Focus Fortify 是助其成功的关键因素。

SAP 用自主维护的静态分析工具来分析以专有 ABAP 语言编写的应用程序。但对于 Java（ABAP 后 SAP 蕞常用的编程语言），公司决定采纳第三方的服务。他们的选择是行业的leader——Micro Focus Fortify，现在，SAP 已将 Fortify 完全整合到他们的开发全生命周期之中。

于是，SAP 与 Fortify 一起设计和实施了应用静态分析的综合解决方案，即基于 Fortify 软件安全中心（SSC）和 Fortify 静态代码分析器（SCA）的综合解决方案，以 Java、C#、JSP 等语言为主。

fortify服务商-华克斯由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!