4分鐘前 天津源代碼掃描工具fortify報告中文插件信息推薦「在線咨詢」[華克斯25b461e]內(nèi)容：

Fortify 軟件安全中心（SSC）

Micro Focus Fortify 軟件安全中心（SSC）是一個集中的管理存儲庫，為企業(yè)的整個應用安全程序提供可視性，以幫助解決整個軟件組合的安全漏洞。

用戶可以評估、審計、優(yōu)先級排序和管理修復工作，安全測試活動，并通過管理儀表板和報告來衡量改進，以優(yōu)化靜態(tài)和動態(tài)應用安全測試結果。因為 Fortify SSC 服務器位于中心位置，可以接收來自不同應用的安全性測試結果（包括靜態(tài)、動態(tài)和實時分析等），有助于準確描述整體企業(yè)應用安全態(tài)勢。

Fortify SSC 可以對掃描結果和評估結果實現(xiàn)關聯(lián)跟蹤，并通過 Fortify Audit Workbench 或 IDE 插件（如 Fortify Plugin for Eclipse, Fortify Extension for Visual Studio）向開發(fā)人員提供這些信息。用戶還可以手動或自動地將問題推送到缺陷跟蹤系統(tǒng)中，包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。

Fortify安裝使用簡易教程

Fortify SCA是一個靜態(tài)源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎對源代碼進行靜態(tài)的分析和檢測，分析的過程中與其特有的軟件安全漏洞規(guī)則集進行地匹配、查找。

好安裝包后，雙擊安裝應用程序

點擊Next進行下一步

接受協(xié)議，點擊Next

選擇安裝位置或者默認位置，點擊Next

勾選你要安裝的插件，點擊Next下一步

選擇cense，點擊下一步

選擇更新服務器，這里可以不用填寫

進行安全掃描_Fortify Sca自定義掃描規(guī)則

前言代碼安全掃描是指在不執(zhí)行代碼的情況下對代碼進行評估的過程。代碼安全掃描工具能夠探查大量“if——then——”的假想情況，而不必為所有這些假想情況經(jīng)過必要的計算來執(zhí)行這些代碼。

那么代碼安全掃描工具到底應該怎么使用？以下是參考fortify sca的作者給出的使用場景：

常規(guī)安全問題(如代碼注入類漏洞)這塊，目前的fortify sca規(guī)則存在較多誤報，通過規(guī)則優(yōu)化降低誤報。而在特定安全問題上，越來越多的合規(guī)要求需要滿足(如等保、國信辦、銀保監(jiān)要求)，自帶的掃描規(guī)則肯定檢測不到這些問題，需要自定義掃描規(guī)則，從合規(guī)的角度來展示安全風險。常規(guī)安全問題誤報優(yōu)化目前開發(fā)人員反饋蕞多的問題是：代碼安全掃描工具誤報較多，我們先看下代碼安全安全分析的過程，如下圖示：