目录导航
Fortify简介
Fortify SCA 全称Fortify Static Code Analyzer (SCA) ,翻译过来就是[强化静态代码分析器,也叫Fortify静态代码分析器-FSCA]
Fortify Static Code Analyzer提供静态代码漏洞缺陷分析器(SAST)功能,是一个静态的、白盒的软件源代码安全测试工具.
Fortify静态代码分析器(SCA)指出了安全的根本原因-源代码中的漏洞,优先处理最严重的问题,并提供了详细的指导,指导如何修复它们,以便开发人员能够修复其代码中存在的漏洞.
Fortify SCA包括8个漏洞分析器:缓冲区、配置、内容、控制流,数据流,高阶,语义和结构。每个分析器接受不同的类型对规则进行专门定制,为相应类型的分析提供必要的信息执行规则。规则是识别源代码中可能导致安全性的元素的定义漏洞或其他不安全的因素。通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告.扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复建议.

工作原理
Fortify SCA首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚.
通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看.
Fortify SCA支持的语言
注意:以下支持的语言列表适用于21.2.0版本,在该20.2.2版本中有些语言可能不支持,但主流语言均支持.
Fortify SAST通过行业领先的软件安全研究 (SSR) 团队支持的敏捷更新,为 29 种以上主要语言及其框架提供准确支持。
使您的应用程序符合广泛的漏洞覆盖范围,包括 1000 多个SAST漏洞类别,这些漏洞类别能够符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。
支持的语言列表:

.NET
.NET Framework
.NET Core
ABAP/BSP
ActionScript
Apex
C#
C/C++
Classic ASP (with VBScript)
COBOL
ColdFusion
Go
HTML
Java (including Android)
JavaScript
JSON
JSP
Kotlin
MXML (Flex)
Objective-C/C++
PHP
PL/SQL
Python
Ruby
Scala
Swift
T-SQL
TypeScript
VBScript
Visual Basic (VB.NET)
Visual Basic
XML
YAML
支持的语言及版本列表详情
语言/框架 | 版本 |
---|---|
.NET | 5.0 |
.NET Framework | 2.0–4.8 |
.NET Core | 2.0–3.1 |
ABAP/BSP | 6 注意:运行 SAP 版本 7.02、SP 级别 0006 的系统支持 Fortify |
ActionScript | 3.0 |
Apex | 36 |
C# | 5, 6, 7, 8, 9 |
C/C++ | C11, C++11, C++14, C++17 (参见 编译器) |
Classic ASP (with VBScript) | 2.0, 3.0 |
COBOL | 带有 CICS、IMS、DB2 和 IBM MQ 的 IBM Enterprise COBOL for z/OS 6.1(及更早版本) Micro Focus Visual COBOL 6.0 注意: COBOL 翻译需要在系统上安装 Microsoft Visual C++ 2017 Redistributable (x86)。 这不是旧版 COBOL 翻译的要求。 |
ColdFusion | 8, 9, 10 |
Go | 1.12, 1.13, 1.14, 1.15, 1.16, 1.17 注意: Fortify 静态代码分析器支持在 Windows 和 Linux 上扫描 Go 代码。 |
HTML | 5 及更早 |
Java (including Android) | 7, 8, 9, 10, 11, 12, 13, 14 |
JavaScript | ECMAScript 2015–2021 |
JSON | ECMA-404 |
JSP | 1.2, 2.1 |
Kotlin | 1.3.50, 1.4.20, 1.5.30 |
MXML (Flex) | 4 |
Objective-C/C++ | 2.0 (见编译器) |
PHP | 7.3, 7.4, 8.0 |
PL/SQL | 8.1.6 |
Python | 2.6, 2.7, 3.x (3.9 及更早版本) |
Ruby | 1.9.3 |
Scala | 2.11, 2.12, 2.13 注意:扫描 Scala 代码需要 Maven 中央存储库中提供的 Scala Fortify 编译器插件。 |
Swift | 5 (参见编译器了解支持的 swiftc 版本) |
T-SQL | SQL Server 2005, 2008, 2012 |
TypeScript | 2.8, 3.x, 4.0, 4.1, 4.2, 4.3 |
VBScript | 2.0, 5.0 |
Visual Basic (VB.NET) | 11, 14, 15.x, 16.0 |
Visual Basic | 6.0 |
XML | 1.0 |
YAML | 1.2 |

Fortify SCA 20.2.2破解版下载地址
云中转网盘:
https://www.yunzhongzhuan.com/#sharefile=5DrJGFyP_47478
解压密码:www.ddosi.org
Fortify SCA 20.2.2破解方法[正确打开方式]
①解压
②找到如下目录下的auditworkbench.cmd文件打开即可
Fortify_SCA_and_Apps_20.2.2\bin\

打开后是这样的界面:

使用方法
点击高级扫描–选择要扫描的文件夹–配置–扫描


扫描结果示例

漏洞细节

图解:

官网地址:
Fortify Static Code Analyzer用户指导手册(英文)
转载请注明出处及链接
[error]:
[rulescript] [script: CDC1A085-2B3B-4D4F-95B9-14F9F0510974, version: 18.1] CDC1A085-2B3B-4D4F-95B9-14F9F0510974 line 2: ReferenceError: “getAzureFunctionBindings” is not defined.
[rulescript] var azureBindings = getAzureFunctionBindings();
[rulescript] at CDC1A085-2B3B-4D4F-95B9-14F9F0510974:2
扫描结果无法显示,都是为0
出现了一个错误。
未指定用于获取更新数据的HTTPURL。请检查您的设置文件(当前为
C:
\用户\管理员/桌面\数据|Fortify_SCA_and_Apps_20.2.2www.dd
osi.org\bin/update.ini)并重新程序。
mac版有嘛
没有
解压密码不对呀
2021年8月份前的密码都是www.ddosi.com之后的密码都是www.ddosi.org
!SESSION Tue Aug 23 17:04:23 CST 2022 ——————————————
!ENTRY org.eclipse.equinox.launcher 4 0 2022-08-23 17:04:23.553
!MESSAGE Could not find extension: reference:file:org.eclipse.osgi.compatibility.state_1.1.400.v20190208-1533.jar
!ENTRY org.eclipse.equinox.launcher 4 0 2022-08-23 17:04:25.065
!MESSAGE Exception launching the Eclipse Platform:
!STACK
java.lang.ClassNotFoundException: org.eclipse.core.runtime.adaptor.EclipseStarter
at java.net.URLClassLoader.findClass(URLClassLoader.java:381)
at java.lang.ClassLoader.loadClass(ClassLoader.java:424)
at java.lang.ClassLoader.loadClass(ClassLoader.java:357)
at org.eclipse.equinox.launcher.Main.invokeFramework(Main.java:658)
at org.eclipse.equinox.launcher.Main.basicRun(Main.java:597)
at org.eclipse.equinox.launcher.Main.run(Main.java:1476)
at org.eclipse.equinox.launcher.Main.main(Main.java:1449)
at com.fortify.awb.AwbLaunch.main(AwbLaunch.java:188)
请问下报这个错 是什么问题呀
Windows找不到文件
E:\sss\Fortify_SCA_and_Apps_20.2.2_www.ddosi.org\bin\auditworkbench.cmd’.
定文件名是否正确后,再试一次。
为什么我的打不开 ?
安装在C盘试试
有没有最新版本22.1的么?
更新不了规则文件?
我错了,网络不好
有Linux版本吗?
linux版本没有