FortifySCA优势1、扫描快又准?在开发早期就捕获了大部分代码相关性问题；?识别并消除源代码、二进制代码或字节代码中的漏洞；?支持27种编程语言中815种的漏洞类别，并跨越超过100万个独立的API；?在OWASP1.2b基准测验中，真实阳性率为100%，源代码扫描工具fortify报告中文插件，证明了高度的准确性。2、CI/CD管道中的安全自动化?识别和优先处理构成威胁的漏洞，快速降低风险；?与CI/CD工具充分集成，包括Jenkins，源代码审计工具fortify报告中文插件，ALMOctane，Jira，AtlassianBamboo，AzureDevOps，Eclipse和MicrosoftVisualStudio等；?实时审查扫描结果并获得访问建议，通过代码行导航更快地发现漏洞和与审计开展协作。3、节约开发时间和成本?嵌入SDLC后，开发时间和成本平均降低25%，fortify报告中文插件，且早期修复漏洞成本比制作/发布后阶段低30倍；?发现漏洞数是原来的2倍，误报率降低95%；（数据来源：《MicroFocusFortify2017商业价值可持续交付》)?通过在开发人员工作时对他们进行静态应用安全测试培训，满足安全编码实践要求。FortifySCA规则定义Fortifysca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例:我们在缺陷代码基础上增加了validate函数去做安全净化处理，源代码扫描工具fortify报告中文插件，fortifysca不能识别这个函数的作用。在函数上右键点击弹出writerulesforthisfunction，我们接下来通过图形界面创建数据流跟踪的净化规则再次扫描后我们发现fortifysca已经可以识别我们自定义的validate函数另外新建规则还可以使用fortify自带的自定义用户规则向导，可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求，就在向导生成的xml基础上进一步更新吧。Fortifysystem命令执行检测除了使用DataflowSourceRule、DataflowSinkRule等规则来定义污点跟踪相关的属性外，Fortify还支持使用CharacterizationRule来定义污点跟踪相关的特性。Fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗structuraltree，然后扫描的时候使用StructuralAnalyzer来解析StructuralRule，蕞后输出匹配的代码。下面以一个简单的示例看看structuraltree的结构，示例代码如下源代码扫描工具fortify报告中文插件-华克斯由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!)