{Fortify SCA}是靜態(tài)應用程序安全性測試 (SAST) 產(chǎn)品，可供開發(fā)團隊和Security expert分析源代碼、檢測源代碼的安全漏洞。幫助開發(fā)人員更快更輕松地識別問題并排定問題優(yōu)先級，然后加以解決。

關鍵功能

1、Fortify SCA 支持豐富的開發(fā)環(huán)境、語言、平臺和框架，可對開發(fā)與生產(chǎn)混合環(huán)境進行安全檢查。

2、支持25+ 種編程語言（ABAP/BSP、script/MXML (Flex)、、VB.NET、 C# (.NET) C/C++ 、Classic ASP、COBOL 、ColdFusion CFML 、HTML、 Java（包括 Android）、Javascript/AJAX、JSP 、Objective-C 、PHP 、PL/SQL、Python 、T-SQL 、 Ruby、 Swift、 Visual Basic、 VBscript、 XML、 Scala 等）的分析。

3、支持超過 911,000 個組件級 API分析。

4、可檢測超過 946+ 種漏洞類別。

5、支持所有主流平臺（window/linux/macOS）、構建環(huán)境和 IDE。

6、支持國際安全標準（OWASP T 10 2017、OWASP Mobile T10、 SNAS25 、CWE、PCI SSF、PCI DSS、GDPR、MISRA、DISA、STIG、FISMA 等）。

蘇州華克斯信息科技有限公司創(chuàng)立于2012年，是一家先進的測試及應用安全產(chǎn)品服務提供商。基于業(yè)內先進的解決方案、豐富的技術實力以及豐富的服務經(jīng)驗，為互聯(lián)網(wǎng)、金融、電力、汽車、高校、第三方檢測機構等行業(yè)的廣大用戶，提供多元的軟件檢測及應用安全解決方案、應用安全技術服務和實施服務。

公司通過ISO9001質量管理體系和ISO27001信息安全管理體系認證，并擁有豐富且成熟的軟件產(chǎn)品線及提供應用軟件功能、性能、安全等自動化測試整體化解決方案。

客戶案例

一、對比分析我們使用WebGoat做為測試用例，來分析一下兩個產(chǎn)品的差異。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默認規(guī)則，不做規(guī)則調優(yōu)。

3、掃描后直接導出報告，不做審計。

二、掃描問題總覽

Fortify SCA掃描結果報告：

從上邊可以看出：Fortify掃描出Critical和High級別的漏洞共計757條。

SonarQube掃描出阻斷和嚴重級別的漏洞為28條，關于軟件質量問題有2K+條。

Fortify掃描出來的內容，基本上都是和安全相關的信息。例如：?Privacy Violation?Cross-Site scripting: Reflected?Cross-Site scripting: Persistent?SQL Injection

Fortify WebInspect更新

以下是Fortify WebInspect新增的功能。

GraphQL原生支持

WebInspect 現(xiàn)在支持本地掃描 GraphQL。獲得quan面的GraphQL 掃描不再需要收集或工作流。

gRPC 掃描

WebInspect 已增加了對 gRPC 掃描的支持。現(xiàn)在可以對這個流行的服務器到服務器的框架進行安全漏洞掃描。

引擎7.1更新

Fortify繼續(xù)增強其引擎，以提高掃描范圍和性能。WebInspect 22.2.0 提供了更快的抓取和審計，并通過 Macro Engine 7.1 的 Web Macro Recorder 提供更好的應用程序支持。

Linux版本

WebInspect 現(xiàn)在可用于輕量級 Linux 容器。當WebInspect通過其API使用時，這個容器化版本的WebInspect是自動化場景的一個很好的選擇。

更新的 SOAP 掃描

WebInspect 將通過 Web ServiceDesigner 工具廢除其舊的 SOAP 掃描選項。在準備過程中，可通過 API 掃描選項來掃描 SOAP 應用程序的新機制。