介绍17.10版本安装指导工具使用云端试用价值
介绍
Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并整理生成完整的报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,并提供相应的修复建议。Fortify SCA支持超过25种开发语言,可检测770个独特的漏洞类别,并拥有超过970,000个组件级API。
下图是在Gartner 2023 Magic Quadrant for Application Security Testing所处的位置。synopsys是指coverity,Micro Focus指foritify,Veracode需要上传代码,所以国内接触不多,深耕北美和欧洲市场。IBM的产品是AppScan Source (我们知道的和WVS齐名的扫描器是 AppScan Standard for desktop),WhiteHat Security公司的产品是Sentinel,奇热做一些开源软件成分组成分析和 AST SaaS、黑盒平台。
17.10版本为大家带来HPE_Security_Fortify_SCA_and_Apps_17.10_Windows和HPE_Security_Fortify_SCA_and_Apps_16.10_Mac的license版本,license到期时间为2032年,对应的规则包也是17年的。Fortify软件就是大名鼎鼎的白盒工具,目前不提供试用,最新版本是19.1.0。现在大家都使用同一套license放置在foritify的按照目录下,所以只要找到安装包,就可以复用license使用。经测试该license不支持python语言,扫描JavaScript代码有时候会卡死,不支持升级,但是扫描能力方面卓越、不需要更改系统时间,可导出报告,下面分享的windows和mac版本笔者已经稳定使用一年多了。
安装指导下载地址:
•HPE_Security_Fortify_SCA_and_Apps_17.10_Windows