MF Fortify SCA

准确

Fortify SCA 可提供准确的结果，并且能检测 出大量其他静态测试技术所无法检测的问 题。Fortify SCA 可对漏洞进行优先级排序， 从而提供准确的操作计划，交付已按风险 划分等级和分类的问题 。该产 品遵循由 Micro  Focus®  Security  Fortify  软件安全研究 团队扩展和更新的一套最大且最全面的安 全编码规则。

灵活

Fortify SCA 可融入您的现有开发环境。它是 一款灵活的命令行静态代码分析器，可通过 脚本、插件和 GUI  工具集成到任何环境，便 于开发人员快速轻松地启动运行。

高效

那些需要加速实现应用程序安全计划的组 织将从更短的扫描时间中获益浅 。Fortify SCA 可通过提供增量扫描，帮助开发人员提 升编程效率。通过只分析自上一次完整扫 描之后变更的代码部分，增量扫描可缩短 运行扫描所需的时间。这将显著缩短扫描 时间，从而让开人员加速获得结果，该产 品还能通过支持更加频繁的扫描来提高工 作效率，并可以更快地将软件投入到生产 当中。

可扩展

由于应用程序来自于公司内部 、外包 、第 三方 、开源 、移动等多个来源，再加上这 些应用程序具有惊人的数目和复杂性，因 此想要测试并保持企业中的所有这些应用 程序类型的安全无虞便显得困难重重 。 Fortify SCA 支持业内大部分编程语言，能够 识别所有类型应用程序中的风险，并可根 据不断增长的企业需求进行扩展。

内部部署或按需部署

Fortify SCA 能够以多种交付模式运行，旨在 适应不断变化的需求和要求。

 内部部署 — 适用于部署、管理及现场 运行静态应用程序安全性测试计划的 Fortify SCA。

 按需部署 — Fortify on Demand 是一项 托管应用程序安全性测试服务，它能 以一种简单、准确的方式启动静态、

动态和移动测试，同时无需前期投资、 额外的资源和时间。

支持的语言

  ABAP/BSP

  ActionScript/MXML (Flex)

  ASP.NET 、VB.NET 、C# (.NET)

  C/C++

  Classic ASP  （带 VBScript）

  COBOL

  ColdFusion CFML

   HTML

  Java（包括 Android）

  JavaScript/AJAX

  JSP

  Objective-C

   PHP

   PL/SQL

   Python

  T-SQL

   Ruby

  Swift

  Visual Basic

  VBScript

  XML

  Scala

支持的 IDE

   Eclipse

   IntelliJ Ultimate

   IntelliJ Community Android Studio

   IBM Rational Application Developer (RAD)    IBM Rational Software Architect (RSA)

   Microsoft Visual Studio

支持的构建工具

  Ant

  Jenkins

   Maven

   MSBuild

  Xcodebuild

Fortify 的软件安全漏洞分类

漏洞类别

谈到软件安全，目前对何谓重大漏洞尚没有

统一的标准。众多组织都发布了自己对严重

漏洞的解读，这导致对标准产生了认知差异

和疑惑。为了帮助开发人员了解导致安全漏

洞的常见编码错误类型， Fortify 编写了软件开 发七宗罪（The Seven Pernicious Kingdoms）， 在其中统一了漏洞的组织分类，并将它们对

应到 OWASP 、SANS 、CWE 和 FISMA 等标准中。

作为一家业界公认的顶尖安全组织，Fortify 安 全研究团队是一支监控新型威胁全球团队。 他们会以漏洞检查的形式将收集到的知识输 送到 Micro Focus Security Fortify 产品套件中， 确保及时检测出最新的威胁。该团队创建了 一套漏洞类别分类规则，力求帮助开发人员 了解各种影响应用程序的安全漏洞。