Fortify 靜態代碼分析器（SCA）利用多種算法和擴展的安全編碼規則知識庫，分析應用程序的源代碼，及時發現可修復的漏洞。

為更好處理代碼，Fortify SCA 的工作方式與編譯器存在相似性——讀取并將源代碼文件轉換為增強的中間結構，以快速執行安全分析。分析引擎由多個專門的分析程序組成，基于安全編碼規則分析代碼庫是否違反了安全編碼實踐。除此外，Fortify SCA 還提供規則構建器以擴展靜態分析，并包含自定義規則，用戶根據受眾和任務特性，靈活查看分析結果。

Fortify SCA 是 Fortify SSC 解決方案的一部分，通過獲獎的靜態分析，對源代碼進行漏洞檢測。包括識別安全漏洞的根本原因，將原因按嚴重程度排序，并就漏洞修復提供詳細的代碼行指導。

Fortify SCA 能幫助企業確保他們的軟件是值得信賴的，減少發現和修復應用程序漏洞的成本，并為安全編碼建立基礎。

Fortify編寫自定義規則原理

要編寫有效的自定義規則，就必須熟悉一直的安全漏洞類別和通常與他們相關的函數類型。深入理解各類經常出現在特定類型漏洞的函數，有利于在編寫自定義規則過程中能夠準確地找到與安全相關的函數。任何一門語言，都有其龐大的開源框架和lib庫。所以自定義規則，既要精通安全漏洞原理，又要熟練掌握一門或幾門開發語言，一般自定義規則用的比較多的語言有java、C/C++、PHP等。其次必須識別與安全相關的函數，并熟悉這些函數的特性以此來確定能夠體現各個函數具體行為和與之相關的漏洞類別的正確規則形式。一旦確定好了這種聯系，使用自定義規則編輯器來創建規則就相對簡單了。