Fortify SCA 是 Fortify SSC 解決方案的一部分，通過獲獎的靜態(tài)分析，對源代碼進行漏洞檢測。包括識別安全漏洞的根本原因，將原因按嚴重程度排序，并就漏洞修復提供詳細的代碼行指導。

Fortify SCA 能幫助企業(yè)確保他們的軟件是值得信賴的，減少發(fā)現(xiàn)和修復應用程序漏洞的成本，并為安全編碼建立基礎。

Fortify 審計

Fortify掃描后生成的fpr文件，就是我們審計的目標。Fortify會將源碼信息和識別到的風險記錄下來。

使用Fortify Audit Workbench打開文件后；左上角的小窗口會列出所有識別出來的潛在風險，雙擊即可查看對應位置代碼。這里是一個在日志中打印IMEI的風險項，左下角可以看到整個數據鏈路，了解數據的傳遞路徑。視圖中上位置是代碼窗口，可以看到已經將危險代碼標識出來。如果代碼窗口中的中文顯示亂碼，往往是因為Fortify默認的解析字節(jié)碼是GBK，可以在選中代碼文件后，點擊Edit->Set Encoding...選項，設置正確的編碼方式即可。中下位置則是對于規(guī)則的介紹，協(xié)助安全工程師確定問題，識別風險。右側的則是所有依賴的代碼的路徑。

在我們審計過程中，如果發(fā)現(xiàn)問題是誤報，可以右鍵風險項，選擇Hide in AWB，即可隱藏誤報問題。

然后是生成報告，我們可以選擇生成兩種報告：

BIRT是統(tǒng)計報告，可以按照不同標準顯示各種類型風險的統(tǒng)計信息。也可以選擇一些我們認定是誤報的項，是否顯示。

Legacy表示信息的留存，該報告會將各風險項的信息依次打印出來，可以提供給業(yè)務確認風險。

在 Fortify SCA 轉換階段，該文件夾會變成藍色，且文件會添加到類路徑中：

選擇項目的 Java 版本。

輸入 Build ID。默認情況下，Build ID 為根目錄。

輸入 Fortify SCA 在分析階段生成的 FPR 的路徑和文件名。

單擊 Next（下一步）。

系統(tǒng)會顯示“Commandline Builder（命令行構建器）”對話框。

命令構建器

要跳過某一階段，請取消勾選 Enable Clean（啟用清除）、Enable Translation（啟用轉換）或 Enable Scan（啟用掃描）復選框。