Fortify常见问题解决方法.Net环境匹配问题由于FortifySCA版本对于支持.Net环境的版本有限，比如蕞大支持到MicrosoftSDK7.0A版本的SDK，如下脚本：1、echoSearchingVSVersion....2、regQUERYHKLM﹨SOFTWARE﹨Microsoft﹨MicrosoftSDKs﹨Windows﹨v7.0A2>NUL>NUL3、IF%ERRORLEVEL%==0(4、setLAUNCHERSWITCHES=-vsversion10.0%LAUNCHERSWITCHES%5、echoFound.NET4.0settingtoVSversion10.06、GOTOVSSELECTED通过Windows注册表中的SDK信息设置扫描依赖版本；而且，由于Windows版本和.NetFramework版本的差异，环境上往往需要自己增加许多配置项，蕞常见的配置如下：（1）SDK版本设置：比如是8.1版本的，我们可以修改脚本文件：regQUERYHKLM﹨SOFTWARE﹨Microsoft﹨MicrosoftSDKs﹨Windows﹨v8.1A2>NUL>NUL（2）ildasm路径设置Unabletolocateildasm是一个常见问题，源代码检测工具fortify扫描，在转换中没有寻找到ildasm程序，可以通过以下方法设置：1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:﹨ProgramFiles(x86)﹨MicrosoftSDKs﹨Windows﹨v8.1A﹨bin﹨NETFX4.5.1Tools﹨ildasm（一定是双斜杠）Fortify软件安全中心（SSC）MicroFocusFortify软件安全中心（SSC）是一个集中的管理存储库，为企业的整个应用安全程序提供可视性，以帮助解决整个软件组合的安全漏洞。用户可以评估、审计、优先级排序和管理修复工作，fortify扫描，安全测试活动，并通过管理仪表板和报告来衡量改进，以优化静态和动态应用安全测试结果。因为FortifySSC服务器位于中心位置，可以接收来自不同应用的安全性测试结果（包括静态、动态和实时分析等），源代码审计工具fortify扫描，有助于准确描述整体企业应用安全态势。FortifySSC可以对扫描结果和评估结果实现关联跟踪，并通过FortifyAuditWorkbench或IDE插件（如FortifyPluginforEclipse，FortifyExtensionforVisualStudio）向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中，包括ALMOctane、JIRA、TFS/VSTS和Bugzilla等。Fortify分析结果1、导航并查看分析结果在您打开一个用来查看FortifySourceCodeAnalyzer(FortifySCA)所检测到的问题的AuditWorkbench项目之后，您可以在Summary（摘要）面板中审计这些问题，以反映这些问题的严重级别，以及对该问题执行的安全分析状态。系统会按审计结果的严重性以及准确性，对审计结果进行分组，并在默认情况下将问题识别为位于“Issues（问题）”面板中的Hot（严重）列表内。单击Warning（警告）和Info（信息），源代码扫描工具fortify扫描，查看分组在这些列表中的问题。每个列表中的问题数量显示在相关按钮下面。要检验与Issues（问题）面板中所列问题相关的代码，选中该问题。源代码部分包含显示在源代码查看器面板中的问题，并在面板的标题中显示文件所包含问题的名称。2、审计结果分析本练习将会引导您浏览一下在练习3中使用FortifySCA分析小程序产生的结果。请您检查FortifySCA中各种不同分析器所发现的问题，并比较FortifySCA生成的各种不同输出格式。请考虑UserServ.java的内容：源代码审计工具fortify扫描-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司拥有很好的服务与产品，不断地受到新老用户及业内人士的肯定和信任。我们公司是商盟认证会员，点击页面的商盟客服图标，可以直接与我们客服人员对话，愿我们今后的合作愉快！)