Fortify相比codeql的優(yōu)勢在于：

商用工具，擁有許多預設(shè)規(guī)則，比較成熟。規(guī)則開發(fā)模式比較局限，但是對于某些特定場景的規(guī)則開發(fā)相對簡單。適合大規(guī)模規(guī)則的掃描。

Fortify是一款商業(yè)級的源碼掃描工具，其工作原理和codeql類似，甚至一些規(guī)則編寫的語法都很相似。

HP Fortify SCA采用的X-Tier數(shù)據(jù)流程分析技術(shù)，完整分析各種程序語言之執(zhí)行流程、數(shù)據(jù)輸入/輸出及程序語法，即使同一個應(yīng)用系統(tǒng)中包含了不同語言的源代碼，也可以完整分析及串接。透過HP Fortify SCA持續(xù)更新的檢查規(guī)則（Rulepack），讓蕞新的弱點可以被發(fā)現(xiàn)并修補，使用者也可以自行定義審計規(guī)則，針對特殊程序編寫規(guī)則或要求進行檢查。

Fortify 審計

Fortify掃描后生成的fpr文件，源代碼審計工具fortify 價格，就是我們審計的目標。Fortify會將源碼信息和識別到的風險記錄下來。

使用Fortify Audit Workbench打開文件后；左上角的小窗口會列出所有識別出來的潛在風險，雙擊即可查看對應(yīng)位置代碼。這里是一個在日志中打印IMEI的風險項，左下角可以看到整個數(shù)據(jù)鏈路，了解數(shù)據(jù)的傳遞路徑。視圖中上位置是代碼窗口，可以看到已經(jīng)將危險代碼標識出來。如果代碼窗口中的中文顯示亂碼，往往是因為Fortify默認的解析字節(jié)碼是GBK，可以在選中代碼文件后，點擊Edit->Set Encoding...選項，設(shè)置正確的編碼方式即可。中下位置則是對于規(guī)則的介紹，協(xié)助安全工程師確定問題，識別風險。右側(cè)的則是所有依賴的代碼的路徑。

在我們審計過程中，如果發(fā)現(xiàn)問題是誤報，可以右鍵風險項，選擇Hide in AWB，即可隱藏誤報問題。

然后是生成報告，我們可以選擇生成兩種報告：

BIRT是統(tǒng)計報告，可以按照不同標準顯示各種類型風險的統(tǒng)計信息。也可以選擇一些我們認定是誤報的項，源代碼審計工具fortify 價格，是否顯示。

Legacy表示信息的留存，該報告會將各風險項的信息依次打印出來，fortify 價格，可以提供給業(yè)務(wù)確認風險。

Fortify SCA 卸載（一）

About Uninstalling Fortify Static Code Analyzer and Applicati0ns

本節(jié)描述如何卸載增強的靜態(tài)代碼分析器和應(yīng)用程序?？梢允褂脴藴拾惭b向?qū)В部梢造o默執(zhí)行卸載。還可以在非windows系統(tǒng)上執(zhí)行基于文本的卸載。

本節(jié)包含以下主題:

Uninstalling Fortify Static Code Analyzer and Applicati0ns

Start >Control Panel >Add or Remove Programs.

Fortify SCA and Applicati0ns ， and then click Remove.

系統(tǒng)會提示您是否刪除所有應(yīng)用程序設(shè)置。做以下任何一件事:

單擊Yes刪除與要卸載的Fortify Static Code Analyzer版本相關(guān)的工具的應(yīng)用程序設(shè)置文件夾。未刪除Fortify靜態(tài)代碼分析器(sca)文件夾。

單擊No保留系統(tǒng)上的應(yīng)用程序設(shè)置。

Uninstalling on Other Platforms

位于中的卸載命令:

Unix or Linux Uninstall_FortifySCAandApps.exe

macOS Uninstall_FortifySCAandApps_.app

單擊Yes刪除與要卸載的Fortify Static Code Analyzer版本相關(guān)的工具的應(yīng)用程序設(shè)置文件夾。未刪除Fortify靜態(tài)代碼分析器(sca)文件夾。

單擊No保留系統(tǒng)上的應(yīng)用程序設(shè)置。

Uninstalling Fortify Static Code Analyzer and Applicati0ns Silently

導航到安裝目錄。