Fortify SCA是一款非常好用的代码审计软件，Fortify SCA功能非常强大，能够对自动静态代码进行分析，对软件安全漏洞进行搜索，从而帮助你快速寻找出源代码里存在的漏洞问题，能够快速进行修复，让您轻松掌握代码的调试状态，完成相关的审计工作。

Fortify SCA内含五大分析引擎，包括数据流引擎、语义引擎、结构引擎、控制流引擎、配置引擎五部分，能够帮助用户对源代码进行全面、完整的分析，并输出成报告，为构建安全软件保驾护航！

软件特色

1、扫描引擎介绍：

主要包含的五大分析引擎：

数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

结构引擎：分析程序上下文环境，结构中的安全问题。

控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

特有的X-Tier跟踪器：跨跃项目的上下层次，贯穿程序来综合分析问题

2、工作原理：首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，CIC++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree将其源代码之间的调用关系，执行环境，上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST，匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件，用AWB打开查看。

3、Fortify SCA扫描的结果如下：

结果文件为.FPR文件，包括详细的漏洞信息：漏洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明及修复建议等。

4、能够扫描的安全漏洞种类有：

可以扫描出约350种漏洞，将所有安全漏洞整理分类，根据开发语言分项目，再细分为8个大类，约350个子类。

5、支持混合语言的分析，包括ASP、.NET、C/C++、C#、Java、 JSP；支持Windows、Linux、Mac OS等多种操作系统。

6、支持自定义软件安全代码规则。

7、集成软件开发环境（Microsoft Visual Studio, IBM RAD, and Eclipse.）和自动产品构建过程。

Fortify SCA软件功能

审计功能：

1.安全问题审计结果、审计类别划分和问题旁注功能。

2.安全审计自动导航功能

3.安全漏洞扫描结果的汇总和问题优先级别划分功能。

4.安全问题定位和问题传递过程跟踪功能。

5.安全问题查询和过滤功能。

6.安全问题描述和推荐修复建议。

扫描分析功能：

1.独特的控制流分析技术精确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。

2.独特的配置流分析技术分析软件的配置和代码的关系，发现在软件配置和代码之间，配置丢失或者不一致而带来的安全隐患

3.独特的数据流分析技术，跟踪被感染的、可疑的输入数据，直到该数据被不安全使用的全过程，并跨越整个软件的各个层次和编程语言的边界。

4.独特的语义分析技术发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，并标识出使用特定函数或者过程带来的软件安全的隐患

5.独特的代码结构分析技术从代码的结构方面分析代码，识别代码结构不合理而带来的安全弱点和问题。

6.自定义安全代码规则功能。

Fortify SCA安装教程

1、下载Fortify SCA安装包，解压缩并运行安装，点击next下一步

2、阅读软件协议，勾选我接受许可协议

3、选择软件安装位置，可自行更换安装路径

4、选择需要安装的组件，自行选择所需进行勾选

5、选择完整的许可证路径，许可证文件在安装包内有

6、一直点击next下一步即可

7、正在安装中，请耐心等待一会

8、安装成功，点击Finish退出安装向导

9、运行软件即可免费使用了

Fortify SCA使用说明

Fortify SCA使用：

在Fortify SCA界面通过源代码类型选择扫描项，出现如下界面：

选择需要扫描的源代码项目，确定后出现如下界面：

分别设置JDK版本及扫描结果保存路径。Next或直接Run Scan（后续步骤不需要设置的情况下）。

Next或直接Run Scan（后续步骤不需要设置的情况下）。

上述界面中可根据自己的项目的情况进行选择。

完成以上步骤后开始扫描，扫描时间根据项目大小决定。扫描结束后直接跳转到扫描结果界面，如下：

左侧显示分级漏洞信息与分析跟踪，中间则是项目扫描结果的摘要，统计扫描漏洞，右侧为漏洞修复建议，最下方为漏洞摘要、详细信息等。

通过左侧的分级漏动漏洞可定位到项目中具体的代码部分，漏洞详细信息与修复建议也会显示。

将（Group By）分组方式选择为按Category漏洞种类)分组，这也是最常用的分组方式，然后在下面对相应的漏洞进行定性。

报告导出：

可将扫描结果导出为PDF、XML或RTF格式，如下图：