Fortify解决方案有助于降低发现和修复漏洞的成本，提高开发团队的生产力，改进安全审查流程，并为安全代码奠定基础。

一、关注企业软件漏洞

应用程序拥有多个来源：内部、移动、外包、商业、开源以及收购。其挑战在于，如何确保不同来源的应用程序在运行业务时都能受到保护。软件保护要求企业构建一个软件安全保证(SSA)程序，该程序包含静态和动态应用程序安全测试解决方案，以识别和修复整个软件开发生命周期(SDLC)中的可利用漏洞。同时，也要求企业对开发和安全团队进行有关应用程序安全的培训，使他们了解可能破坏企业的威胁类型。

静态和动态分析确定应用程序中的主要安全漏洞，但他们位于SDLC的不同阶段。静态分析在SDLC开发早期进行，此时修复漏洞是最简单且最便宜的，而动态分析是在稍后运行的应用程序中进行的。在SDLC后期运行初始扫描的企业将认识到，在应用程序投入生产之前审计和纠正漏洞是昂贵且资源密集型的。实现软件安全保证(SSA)程序是一种主动的方法，以确保从设计、开发、QA和部署开始的整个SDLC都具有安全性。SSA程序的一部分包括静态代码分析，它在开发过程中识别安全漏洞，而此时修复这些漏洞的成本最低。它通过对开发过程中引入的代码问题向开发人员提供即时反馈来降低应用程序中的安全风险。还能帮助开发人员了解工作时的安全性，使他们能够开发更安全的软件。

二、静态测试有助于构建更好的代码

Micro Focus Fortify Static Code Analyzer (SCA)使用多种算法和广泛的安全编码规则知识库来分析应用程序的源代码，以发现潜在的漏洞。此技术分析执行和数据遵循的每个可行路径，以识别和修复漏洞。Fortify SCA定位源代码中安全漏洞的根源，进行风险排序和优先级排序, 并提供关于修复漏洞的详细指导，以便开发人员能够花费更少的时间和精力来解决问题，同时学习并建构安全编码知识。Fortify SCA检测到超过991个漏洞类别，跨越26种开发语言，拥有超过1007000个组件级别的API。（数据来源：Fortify软件安全研究小组）

三、选择Fortify静态代码分析器的原因

• Fortify是市场上最精确的分析器之一，能检测一系列其他静态分析测试技术无法检测的问题

• 可以通过脚本、插件和GUI工具轻松地集成到任何环境中，这样开发人员就可以快速轻松地启用和运行

• 无论使用哪种开发语言，无论是内部构建、外包、第三方、开源还是移动，都能测试并维护应用程序的安全性

• 支持多种开发语言、平台和框架，以支持在混合环境中进行安全性审查

• 识别源代码中的漏洞，根据严重性对其进行优先级排序，并提供修复指导

• 将开发和安全团队聚集在一起，查找并修复安全问题，以降低软件风险、减少时间和成本

• 支持在私有和按需上的多个交付模型

• 随着企业中应用程序数量的增加而扩展

• 主动管理风险和合规性需求

• 由Micro Focus Fortify Software Security Research Group，一个公认为监控新兴威胁的顶级安全组织之一提供支持

四、主要优势

• 通过在SDLC的早期识别漏洞来降低开发成本

• 通过识别并确定构成最大威胁的漏洞来降低风险

对开发人员进行静态应用程序安全测试，从而实现安全编码

五、查找漏洞

Fortify SCA处理代码的工作方式非常类似于编译器——它读取源代码文件或文件集合，并将其转换为安全分析而增强的中间格式。

此中间格式用于定位安全漏洞。分析引擎由多个专门的分析程序组成，它使用安全编码规则来分析代码。Fortify SCA还提供了一个规则生成器来扩展和扩展静态分析功能，并能够包含自定义规则。根据受众和任务，可以通过多种方式查看结果。

六、管理结果

Fortify SCA基于Web的协作功能，为开发人员、应用程序安全专业人员和管理人员提供共享的工作空间和存储库，以共同进行代码审查和修复。它们可以使用特定于角色的接口一起工作。

Fortify SCA审计工作台是专为应用程序安全专业人员设计的,用于分析各个漏洞，对其进行优先级排序和修复，并追踪修复情况。通过智能代码导航和直观的用户界面特性，可以方便地调查、验证、注释和设置问题的严重程度。

开发人员可以在他们喜欢的开发环境中解决问题，同时与使用Eclipse和Microsoft Visual Studio插件的安全团队协作。通过Fortify SCA，开发人员可以在修复开发周期中的漏洞时了解安全编码。对每个漏洞，Fortify SCA都提供了描述问题的参考信息，以及用开发人员的编程语言修复问题的方法。