FORTIFY-代码扫描解决方案-华克斯()

fortify相比codeql的优势在于：

商用工具，fortify申请---，拥有许多预设规则，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合---规则的扫描。

fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似。

hp fortify sca采用的x-tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过hp fortify sca持续更新的检查规则rulepack，让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

micro focus fortify 系列解决方案

1、用于静态应用安全测试sast的 fortify sca：在开发过程中识别漏洞，并在蕞容易修复且成本蕞低的时候优先处理那些关键问题。扫描结果存储在 fortify ssc 中。

2、用于动态应用安全测试dast的 fortify webinspect：识别运行中的网络应用程序和网络服务的安全漏洞，并对其进行优先级排序；集成交互式应用程序安全测试iast，扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 fortify ssc 中。

3、fortify 软件安全中心ssc：作为 appsec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式，以分类、---、验证和管理软件安全活动。

4、“应用安全即服务” fortify on demand：通过简单而灵活的方法，快速、准确地测试软件的安全性，无需额外资源，也无需安装和管理任何软件。