Micro Focus Fortify 系列解決方案

1、用于靜態應用安全測試（SAST）的 Fortify SCA：在開發過程中識別漏洞，并在蕞容易修復且成本蕞低的時候優先處理那些關鍵問題。掃描結果存儲在 Fortify SSC 中。

2、用于動態應用安全測試（DAST）的 Fortify WebInspect：識別運行中的網絡應用程序和網絡服務的安全漏洞，并對其進行優先級排序；集成交互式應用程序安全測試（IAST），擴大攻擊面的覆蓋范圍以識別更多的漏洞。掃描結果可存儲在 Fortify SSC 中。

3、Fortify 軟件安全中心（SSC）：作為 AppSec 平臺幫助企業實現應用安全程序自動化。它為管理、開發和安全團隊提供了一種共同工作的方式，以分類、跟蹤、驗證和管理軟件安全活動。

4、“應用安全即服務” Fortify on Demand：通過簡單而靈活的方法，快速、準確地測試軟件的安全性，無需額外資源，也無需安裝和管理任何軟件。

新一代 Fortify 發布，搶先部署等你來！

此次更新的軟件服務包括：Static Code Analyzer、WebInspect、Software Security Center、Software Analysis。其中 Fortify Static Code Analyzer提供靜態代碼分析器（SAST），Fortify WebInspect是動態應用安全測試軟件（DAST）。

Fortify SAST 新增功能

SAST Speed Dial

根據應用需求調整掃描深度，以更好地控制靜態測試的速度和準確性。通過 CI 撥號設置將掃描速度提高50%，并在需要時保存深度 SAST 掃描。新增功能如下：

1. 增加3級和4級支持

2. 將中間顯影掃描速度提高50%（減少報告問題）

3. 減少 Java 和 C/C++ 等類型語言的掃描時間

4. 4級支持提供完整掃描

一、 Fortify SCA概述

1、Source Code Analysis 階段概述

Audit Workbench 會啟動 Fortify SCA“Scanning（掃描）”向導來掃描和分析源代碼。該向導整合了以下幾個分析階段：

轉換：使用源代碼創建中間文件，源代碼與一個 Build ID相關聯，Build ID通常就是項目名稱。

掃描與分析：掃描中間文件，分析代碼，并將結果寫入一個Fortify Project Results(FPR)文件。

校驗：確保所有源文件均包含在掃描過程中，使用的是正確的規則包，且沒有報告重大錯誤。

2、安全編碼規則包概述

安全編碼規則包是 Fortify Software 安全研究小組多年軟件安全經驗的體現，并且經過其不斷努力改進而成。這些規則是通過對編碼理論和常用編碼實踐的研究，而取得的軟件安全知識的巨大積累，并且在 Fortify Software 安全研究小組的努力下不斷擴展和改進。每個安全編碼規則包均包含大量的規則，每個規則定義了一個被 source code analysis 檢測出的特定異常行為。

一旦檢測出安全問題，安全編碼規則包會提供有關問題的信息，讓開發人員能夠計劃并實施修復工作，這樣比研究問題的安全細節更為有效。這些信息包括關于問題類別的具體信息、該問題會如何者利用，以及開發人員如何確保代碼不受此漏洞的威脅。

安全編碼規則包支持多種編程語言，也支持各種經過擴展的第三方庫和配置文件。

有關當前安全編碼規則包的信息，請參見《安全編碼規則包參考》。

代碼質量利器：Fortify SCA使用指南

靜態代碼分析器SCA（Static Code Analyzer）：包含多種語言的安全相關的規則，而對于這些規則相關的違反狀況則是SCA重點確認的內容。SCA可以做到快速準確定位修正場所，同時還可以定制安全規則。

在使用上SCA主要按照如下步驟進行：

步驟1: 單獨運行SCA或者將SCA與構建工具進行集成

步驟2: 將代碼轉換為臨時的中間格式

步驟3: 對轉換的中間格式的代碼進行掃描，生成安全合規性的報告

步驟4: 對結果進行審計，一般通過使用Fortify Audit Workbench打開FPR（Fortify Project Results）文件或者將結果上傳至SSC（Fortify Software Security Center）來進行分析，從而直接看到蕞終的結果信息