Fortify 靜態(tài)代碼分析器（SCA）利用多種算法和擴(kuò)展的安全編碼規(guī)則知識庫，分析應(yīng)用程序的源代碼，及時發(fā)現(xiàn)可修復(fù)的漏洞。

為更好處理代碼，F(xiàn)ortify SCA 的工作方式與編譯器存在相似性——讀取并將源代碼文件轉(zhuǎn)換為增強(qiáng)的中間結(jié)構(gòu)，以快速執(zhí)行安全分析。分析引擎由多個專門的分析程序組成，基于安全編碼規(guī)則分析代碼庫是否違反了安全編碼實(shí)踐。除此外，F(xiàn)ortify SCA 還提供規(guī)則構(gòu)建器以擴(kuò)展靜態(tài)分析，并包含自定義規(guī)則，用戶根據(jù)受眾和任務(wù)特性，靈活查看分析結(jié)果。

Fortify SCA 是 Fortify SSC 解決方案的一部分，通過獲獎的靜態(tài)分析，對源代碼進(jìn)行漏洞檢測。包括識別安全漏洞的根本原因，將原因按嚴(yán)重程度排序，并就漏洞修復(fù)提供詳細(xì)的代碼行指導(dǎo)。

Fortify SCA 能幫助企業(yè)確保他們的軟件是值得信賴的，減少發(fā)現(xiàn)和修復(fù)應(yīng)用程序漏洞的成本，并為安全編碼建立基礎(chǔ)。

Fortify編寫自定義規(guī)則原理

要編寫有效的自定義規(guī)則，就必須熟悉一直的安全漏洞類別和通常與他們相關(guān)的函數(shù)類型。深入理解各類經(jīng)常出現(xiàn)在特定類型漏洞的函數(shù)，有利于在編寫自定義規(guī)則過程中能夠準(zhǔn)確地找到與安全相關(guān)的函數(shù)。任何一門語言，都有其龐大的開源框架和lib庫。所以自定義規(guī)則，既要精通安全漏洞原理，又要熟練掌握一門或幾門開發(fā)語言，一般自定義規(guī)則用的比較多的語言有java、C/C++、PHP等。其次必須識別與安全相關(guān)的函數(shù)，并熟悉這些函數(shù)的特性以此來確定能夠體現(xiàn)各個函數(shù)具體行為和與之相關(guān)的漏洞類別的正確規(guī)則形式。一旦確定好了這種聯(lián)系，使用自定義規(guī)則編輯器來創(chuàng)建規(guī)則就相對簡單了。