FortifySCA快速入门规则库导入：所有的扫描都是基于规则库进行的，华南fortify规则，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下，拷贝后便为扫描建立了默认的规则库。另外，你也可以自定义规则，这些内容将会在以后逐一介绍。建立和执行扫描任务：我们分别通过Java、.NetC#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：Java项目：FortifySCA对于Java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨auditworkbench.cmd，启动审计工作台就可以直接对Java项目进行静态扫描；另外也可以使用FortifySCA插件，集成嵌入Eclipse来完成开发过程中的实时扫描；当然，你也可以使用原生的命令行工具完成全部工作，我们这里介绍一个通用的方法，即利用ScanWizard工具导入你的源码项目，源代码扫描工具fortify规则，通过一系列设置后，源代码检测工具fortify规则，会生成一个批处理脚本文件，通过批处理代替手工输入执行命令进行测试。使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨ScanWizard.cmd启动ScanWizard工具：Fortify是MicroFocus旗下AST（应用程序安全测试）产品，其产品组合包括：FortifyStaticCodeAnalyzer提供静态代码分析器（SAST），FortifyWebInspect是动态应用安全测试软件（DAST），SoftwareSecurityCentre是软件安全中心（SSC）和ApplicationDefender是实时应用程序自我保护（RASP）。Fortify能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现安全监测，Fortify具有源代码安全分析，可定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。在FortifySCA转换阶段，该文件夹会变成蓝色，且文件会添加到类路径中：选择项目的Java版本。输入BuildID。默认情况下，BuildID为根目录。输入FortifySCA在分析阶段生成的FPR的路径和文件名。单击Next（下一步）。系统会显示“CommandlineBuilder（命令行构建器）”对话框。命令构建器要跳过某一阶段，请取消勾选EnableClean（启用清除）、EnableTranslation（启用转换）或EnableScan（启用扫描）复选框。华南fortify规则-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业，公司秉承“诚信经营，用心服务”的理念，为您提供更好的产品和服务。欢迎来电咨询！联系人：华克斯。)