FortifySCA集成生态1、灵活的部署选项支持“应用安全即服务”、内部或云端部署2、集成开发环境（IDE）Eclipse、VisualStudio、JetBrains（包括IntelliJ）3、CI/CD工具Jenkins、Bamboo、VisualStudio、Gradle、Make、AzureDevOps、GitHub、GitLab、Maven、MSBuild4、问题Bugzilla，Jira，ALMOctane5、开源安全管理Sonatype，源代码扫描工具fortify服务商，Snyk，WhiteSource，BlackDuck6、代码库GitHub，Bitet7、定制的SwaggerizedAPIFortify自定义规则1).在fortifySCA安装的bin目录下找到打开自定义规则编辑器，CustomRulesEditor.cmd，如下图所示：2).打开编辑器后，选择File——>GenerateRule，弹出规则向导框。3).自定义规则模板可以按照漏洞类型(Category)和规则类型（RuleType）进行分类，不管是何种方式分类，这些模板大体上分为，数据污染源tainted规则，源代码扫描工具fortifysca，数据控制流规则，数据传递规则，以及漏洞缺陷爆发的sink规则。只要理解了这些规则模板，和开发语言的函数特征，建立规则就简单了。4).选择规则包语言，点击next，然后填写报名，类名，函数名5).点击next，设置sink点Fortify审计Fortify扫描后生成的fpr文件，就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。使用FortifyAuditWorkbench打开文件后；左上角的小窗口会列出所有识别出来的潜在风险，双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项，左下角可以看到整个数据链路，了解数据的传递路径。视图中上位置是代码窗口，可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码，往往是因为Fortify默认的解析字节码是GBK，可以在选中代码文件后，点击Edit->SetEncoding...选项，设置正确的编码方式即可。中下位置则是对于规则的介绍，协助安全工程师确定问题，识别风险。右侧的则是所有依赖的代码的路径。在我们审计过程中，如果发现问题是误报，可以右键风险项，选择HideinAWB，即可隐藏误报问题。然后是生成报告，源代码扫描工具fortify，我们可以选择生成两种报告：BIRT是统计报告，可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项，是否显示。Legacy表示信息的留存，该报告会将各风险项的信息依次打印出来，可以提供给业务确认风险。源代码扫描工具fortify-苏州华克斯公司由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!)