源代码审计工具fortify报告中文插件-苏州华克斯信息

C/C++源码扫描系列- Fortify 篇

环境搭建

本文的分析方式是在 Linux 上对源码进行编译、扫描，然后在 Windows 平台对扫描结果进行分析，所以涉及 Windows 和 Linux 两个平台的环境搭建。

Windows搭建

首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装

安装完成后，把 fortify-common-20.1.1.0007.jar 拷贝 Core﹨lib 进行，源代码扫描工具fortify报告中文插件，然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core﹨config﹨rules 的路径下，该路径下保存的是Fortify的默认规则库。

ExternalMetadata 下的文件也拷贝到 Core﹨config﹨ExternalMetadata 目录即可

执行 auditworkbench.cmd 即可进入分析源码扫描结果的IDE.

Fortify 软件安全中心（SSC）

Micro Focus Fortify 软件安全中心（SSC）是一个集中的管理存储库，为企业的整个应用安全程序提供可视性，以帮助解决整个软件组合的安全漏洞。

用户可以评估、审计、优先级排序和管理修复工作，安全测试活动，并通过管理仪表板和报告来衡量改进，以优化静态和动态应用安全测试结果。因为 Fortify SSC 服务器位于中心位置，可以接收来自不同应用的安全性测试结果（包括静态、动态和实时分析等），有助于准确描述整体企业应用安全态势。

Fortify SSC 可以对扫描结果和评估结果实现关联跟踪，并通过 Fortify Audit Workbench 或 IDE 插件（如 Fortify Plugin for Eclipse，源代码审计工具fortify报告中文插件， Fortify Extension for Visual Studio）向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中，包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。

Fortify Source Code Analysis Engine（源代码分析引擎）

采用数据流分析引擎，语义分析引擎，fortify报告中文插件，结构分析引擎，源代码检测工具fortify报告中文插件，控制流分析引擎，配置分析引擎和特有的X-Tier从不同的方面查看代码的安全漏洞，化降低代码安全风险。

Fortify Secure Code rules：Fortify（软件安全代码规则集）

采用国际公认的安全漏洞规则和众多软件安全的建议，辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用，包括美国国土安全（CWE）标准、OWASP，PCI。。。等。

Fortify Audit Workbench （安全审计工作台）

辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines（源代码分析引擎）扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。

Fortify Rules Builder（安全规则构建器）

提供自定义软件安全代码规则功能，满足特定项目环境和企业软件安全的需要。

Fortify Source Code Analysis Suite plug in （Fortify SCA IDE集成开发插件）