简介

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。

功能特点

数据流引擎：跟踪,记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数,方法的使用的安全问题。

结构引擎：分析程序上下文环境,结构中的安全问题。

控制流引擎：分析程序特定时间,状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

特有的X-Tier™跟踪器：跨跃项目的上下层次,贯穿程序来综合分析问题

1、Fortify Source Code Analysis Engine（源代码分析引擎）

采用数据流分析引擎，语义分析引擎，结构分析引擎，控制流分析引擎，配置分析引擎和特有的 X-Tier 跟踪器从不同的方面查看代码的安全漏洞，更大化降低代码安全风险。

2、Fortify Secure Code rules（软件安全代码规则集）

采用国际公认的安全漏洞规则和众多软件安全专家的建议，辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际权威机构采用，包括美国国土安全（CWE）标准、OWASP，PCI 等。

3、Fortify Audit Workbench （安全审计工作台）

辅助开发人员、安全审计人员对 Fortify Source Code Analysis Engines（源代码分析引擎）扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。

4、Fortify Rules Editor（安全规则构建器）

提供自定义软件安全代码规则功能，满足特定项目环境和企业软件安全的需要。

5、Fortify SCA plug in （Fortify SCA IDE 集成开发插件）

Eclipse, Visual Studio, RAD 集成开发环境中的插件，便于开发者在编写代码过程中可以直接使用工具扫描代码，立刻识别代码安全漏洞，并立即根据建议修复，消除安全缺陷在最初的编码阶段，及早发现安全问题，降低安全问题的查找和修复的成本。

产品/服务优势：

1、 轻松应对监管机构的合规需求，提高源代码审计效率，降低应用系统安全风险。

2、 丰富而全面软件安全代码规范及其文档资料弥补企业开发人员和管理人员应用软件安全知识不足，让大家尽快了解各种软件安全漏洞的成因和修复方法。

3、 使用 Fortify SCA 大大节约了开发人员和审计人员在识别软件漏洞和修复安全漏洞的时间。

4、 对于软件外包的项目，能快速识别项目风险，防止外包团队成员有意或者无意而遗留在软件项目中的安全隐患，避免以后软件上线后造成重大的经济和其他方面损失。

5、 通过使用 Fortify 的工具可以帮助企业研发中心建立规范的代码安全审计流程，并使在项目验收过程中引入软件安全验收环节变为可行。

6、通过与公司自助研发代码辅助管理平台结合实现源代码缺陷的自动分发、代码质量的统计度量等技术指标；源代码扫描的自动持续集成、自定义规则库和结合代码质量的度量数据和开发人员进行绩效考核。