fortify-苏州华克斯公司-源代码扫描工具fortify

Fortify相比codeql的优势在于：

商用工具，源代码扫描工具fortify，拥有许多预设规则，源代码审计工具fortify价格，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。

Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

HP Fortify SCA采用的X-Tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，fortify，也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则（Rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

Fortify ScanCentral DAST 新增功能

借助下一代动态应用程序安全测试功能，可以使用 ScanCentral 和现有的 Fortify Jenkins 及 Fortify Azure 插件在 CI/CD 流程中启用、扩展和自动化 DAST，从而创建更的 AppSec 方法。ScanCentral DAST 新增功能如下：

使用功能性应用程序安全测试 (FAST)

FAST 以支持 CI/CD 的方式捕获功能测试流量并将其发送到 ScanCentral DAST，进行有针对性的 DAST 扫描。与 IAST 不同，源代码审计工具fortify工具，FAST 不受创建测试人员的想法限制。FAST 扫描应用程序，继续查找功能测试未公开的所有内容。

简化 API 扫描

在21.1.0版本中， 集成的ScanCentral DAST 可以简化 API 扫描，使WebInspect 传感器中的新工作流自动检测身份验证请求。

增加 Hacker Level Insights

Hacker Level Insights 是一个新框架，可对应用程序进行安全洞察。21.1.0版本中也包含了对 JavaScript 客户端框架的检测。

配置数据保留策略

在应用程序或扫描级别中配置数据保留策略，允许自动清除陈旧数据，以支持 ScanCentral DAST 数据库维护及高使用环境中的系统性能。

防止应用程序中断

如果正在运行的扫描发生了中断，或强制完成扫描但未启动新扫描时，ScanCentral DAST 将确保不会中断应用程序和扫描过程。

提供基本设置功能

基本设置使 ScanCentral DAST 管理员能够跨所有应用程序或特定应用程序扫描设置模板。管理员可以预先配置扫描模板并将其提供给用户，使用户在不了解安全知识的情况下也能扫描他们的应用程序。

Fortify SCA 优势

1、 扫描快又准

? 在开发早期就捕获了大部分代码相关性问题；

? 识别并消除源代码、二进制代码或字节代码中的漏洞；

? 支持 27 种编程语言中 815 种的漏洞类别，并跨越超过 100 万个独立的 API；

?在 OWASP 1.2b 基准测验中，真实阳性率为100%，证明了高度的准确性。

2、CI/CD 管道中的安全自动化

? 识别和优先处理构成威胁的漏洞，快速降低风险；

? 与CI/CD 工具充分集成，包括 Jenkins， ALM Octane， Jira， Atlassian Bamboo， Azure DevOps， Eclipse 和 Microsoft Visual Studio 等；

? 实时审查扫描结果并获得访问建议，通过代码行导航更快地发现漏洞和与审计开展协作。

3、节约开发时间和成本

? 嵌入 SDLC 后，开发时间和成本平均降低 25%，且早期修复漏洞成本比制作/发布后阶段低 30 倍；

? 发现漏洞数是原来的 2 倍，误报率降低 95%；（数据来源：《Micro Focus Fortify 2017 商业价值可持续交付》)

? 通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。