苏州华克斯信息-华北fortify

Fortify相比codeql的优势在于：

商用工具，拥有许多预设规则，源代码扫描工具fortify 价格，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。

Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

HP Fortify SCA采用的X-Tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则（Rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

Fortify常见问题解决方法

内存不足问题

在应用Fortify SCA实施源代码扫描过程中内存不足是分析器（sourceanalyzer）经常报出的一类问题，如下：

扫描过程中：

1、com.fortify.sca.analyzer.AbortedException: There is not enough memory available

2、to complete analysis.  For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，我们必须对JVM参数进行调整，华北fortify，增加虚拟器内存大小。

（1）确认安装64位的Fortify SCA程序；（这是一个众所周知的JVM问题，源代码扫描工具fortify sca，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录（就算你安装了64位的Fortify SCA程序，该程序默认的jre仍然是32位的）；

进行安全扫描_Fortify Sca自定义扫描规则

源代码编写

1. 编码规范尽量使用fortify认可的安全库函数，如ESAPI，源代码审计工具fortify工具，使用ESAPI后fortify sca会把漏洞标记为低危，是可以忽略的漏洞类型。以下是对常见漏洞的安全库函数

2. 使用注解(针对java)如果我们用过SonarQube，我们会发现有两种修改代码的方式来解决误报。

注释

在被误判的代码行后面加上注释：//NOSONAR

String name = user.getName(); //NOSONAR

注解

在类或方法上面加上 @SuppressWarnings 注解