Fortify SCA下载 v20.1.1 免费版

Fortify SCA破解版是一款应用广泛且专心强大的代码审计软件，它能够对自动静态代码进行分析，帮助开发者更好查找漏洞。Fortify SCA支持超过26种主流的开发语言，可以将前端语言代码转换为中间媒体文件NST，然后调用内置分析引擎，对源代码进行全面、完整的分析，并输出成报告，为构建安全软件保驾护航！

概括介绍

FortifySCA是一个静态的、白盒的源代码安全测试工具。主要包含五大引擎：数据流、语义、结构、控制流、配置流，通过五大引擎对应用软件的源代码进行静态的分析，分析的过程中与他特有的软件安全漏洞规则集进行全面的匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并整理成报告。扫描的结果包含详细的安全漏洞信息、安全知识说明、修复意见。

功能说明

通过集成式 SAST，安全编码

在 Eclipse 或 Visual Studio IDE 中使用 Security Assistant，利用开发人员的安全“拼写检查器”实时查找并修复安全漏洞。

游戏化培训可支持开发人员创建安全代码。

覆盖开发人员使用的语言

为超过 26 种主要语言及其框架提供精准的支持，并由业界领先的软件安全研究 (SSR) 团队提供灵活的更新支持。

覆盖广泛的漏洞，包括 SAST 800 多种漏洞，以此支持喝醉，同时符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。

启动快速的自动化扫描

从 Fortify 平台或通过您的 IDE 和 CI/CD 管道在本地无缝启动扫描。

快速构建安全软件，借助用于扫描结果的集中管理存储库，获得宝贵的见解。

软件安全中心 (SSC) 使组织能够自动实现应用程序安全程序的所有方面。

以 DevOps 速度修复问题

为特定于开发人员的视图创建筛选器和问题模板。

Audit Assistant 使用机器学习辅助的审核消除多达 90％ 的误报，从而减少了手动审核时间。

Audit Workbench 可以进行丰富的分析和自动分类。

使用 SmartView 筛选器，以最有效的方式解决问题，这些筛选器从数据流的角度显示问题之间的关系。

在 CI/CD 中自动实现安全

通过 Swagger 支持的全套 REST API、GitHub 存储库、Bamboo、VSTS 和 Jenkins 插件以及与开源组件分析工具的集成，自动在 CI/CD 管道中实现安全性。

Fortify SCA 通过脚本、插件和 GUI 工具适配现有的开发环境，因此开发人员可以轻松、快速启动并运行。

扩展 AppSec 程序

ScanCentral 允许使用静态分析服务器场进行扩展，该服务器场可以动态扩展，满足 CI/CD 管道不断变化的需求。

通过灵活的部署进行扫描。Fortify SAST 可在本地作为服务使用，也在在混合模式下使用，以满足您的业务需求。您可以快速启动 AppSec 程序，并集中扩展该程序。

破解说明

1、免破解授权版本

2、集成破解补丁完美激活注册软件，解除功能限制

3、增加软件使用时间期限，用户可以永久免费使用

引擎介绍

-数据量引擎：跟踪、记录并分析程序中的数据传递过程所产生的安全问题。

-语义引擎：分析过程中不安全的函数，方法的使用的安全问题。

-结构引擎：分析程序上下文环境、结构中的安全问题。

-控制流引擎：分析程序特定时间、状态下执行操作指令的安全问题。

-配置引擎：分析项目配置中的敏感信息和配置确实的安全问题。

运行原理

FortifySCA首先通过调用语言的编译器或者解释器把前端的语言代码（Java、C、C++等源代码）转换成一种中间媒体文件NST（Normal Syntax Trcc），将其原地阿妈之间的调用关系、执行环境、上下文等分析清楚。然后通过匹配所有规则库中的漏洞，若发现存在漏洞就抓取出来，显示在Fortify SCA扫描结果中。

安装教程

1、下载安装包，解压缩并运行安装，点击next下一步

2、阅读软件协议，勾选我接受许可协议

3、选择软件安装位置，可自行更换安装路径

4、选择需要安装的组件，自行选择所需进行勾选

5、选择完整的许可证路径，许可证文件在安装包内有

6、一直点击next下一步即可

7、正在安装中，请耐心等待一会

8、安装成功，点击Finish退出安装向导

9、运行软件即可免费使用了

使用说明

Fortify SCA使用：

在Fortify SCA界面通过源代码类型选择扫描项，出现如下界面：

选择需要扫描的源代码项目，确定后出现如下界面：

分别设置JDK版本及扫描结果保存路径。Next或直接Run Scan（后续步骤不需要设置的情况下）。

Next或直接Run Scan（后续步骤不需要设置的情况下）。

上述界面中可根据自己的项目的情况进行选择。

完成以上步骤后开始扫描，扫描时间根据项目大小决定。扫描结束后直接跳转到扫描结果界面，如下：

左侧显示分级漏洞信息与分析跟踪，中间则是项目扫描结果的摘要，统计扫描漏洞，右侧为漏洞修复建议，最下方为漏洞摘要、详细信息等。

通过左侧的分级漏动漏洞可定位到项目中具体的代码部分，漏洞详细信息与修复建议也会显示。

将（Group By）分组方式选择为按Category漏洞种类)分组，这也是最常用的分组方式，然后在下面对相应的漏洞进行定性。

报告导出：

可将扫描结果导出为PDF、XML或RTF格式，如下图：