Fortify是MicroFocus旗下AST（应用程序安全测试）产品，其产品组合包括：FortifyStaticCodeAnalyzer提供静态代码分析器（SAST），FortifyWebInspect是动态应用安全测试软件（DAST），fortifysca，SoftwareSecurityCentre是软件安全中心（SSC）和ApplicationDefender是实时应用程序自我保护（RASP）。Fortify能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现安全监测，源代码扫描工具fortifysca，Fortify具有源代码安全分析，可定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。C/C++源码扫描系列-Fortify篇环境搭建本文的分析方式是在Linux上对源码进行编译、扫描，源代码检测工具fortifysca，然后在Windows平台对扫描结果进行分析，所以涉及Windows和Linux两个平台的环境搭建。Windows搭建首先双击Fortify_SCA_and_Apps_20.1.1_windows_x64.exe安装安装完成后，把fortify-common-20.1.1.0007.jar拷贝Core﹨lib进行，然后需要把rules目录的规则文件拷贝到安装目录下的Core﹨config﹨rules的路径下，该路径下保存的是Fortify的默认规则库。ExternalMetadata下的文件也拷贝到Core﹨config﹨ExternalMetadata目录即可执行auditworkbench.cmd即可进入分析源码扫描结果的IDE.Fortify常见问题解决方法.Net环境匹配问题由于FortifySCA版本对于支持.Net环境的版本有限，比如蕞大支持到MicrosoftSDK7.0A版本的SDK，源代码检测工具fortifysca，如下脚本：1、echoSearchingVSVersion....2、regQUERYHKLM﹨SOFTWARE﹨Microsoft﹨MicrosoftSDKs﹨Windows﹨v7.0A2>NUL>NUL3、IF%ERRORLEVEL%==0(4、setLAUNCHERSWITCHES=-vsversion10.0%LAUNCHERSWITCHES%5、echoFound.NET4.0settingtoVSversion10.06、GOTOVSSELECTED通过Windows注册表中的SDK信息设置扫描依赖版本；而且，由于Windows版本和.NetFramework版本的差异，环境上往往需要自己增加许多配置项，蕞常见的配置如下：（1）SDK版本设置：比如是8.1版本的，我们可以修改脚本文件：regQUERYHKLM﹨SOFTWARE﹨Microsoft﹨MicrosoftSDKs﹨Windows﹨v8.1A2>NUL>NUL（2）ildasm路径设置Unabletolocateildasm是一个常见问题，在转换中没有寻找到ildasm程序，可以通过以下方法设置：1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:﹨ProgramFiles(x86)﹨MicrosoftSDKs﹨Windows﹨v8.1A﹨bin﹨NETFX4.5.1Tools﹨ildasm（一定是双斜杠）苏州华克斯公司-源代码检测工具fortifysca由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来，我们坚持以“诚信为本，稳健经营”的方针，勇于参与市场的良性竞争，使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上，用户至上”的原则，使华克斯在行业软件中赢得了客户的信任，树立了良好的企业形象。特别说明：本信息的图片和资料仅供参考，欢迎联系我们索取准确的资料，谢谢！)