【工具更新】代码审计利器Fortify_SCA_23.1.0

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测。

工具介绍

• Fortify 能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现高效安全监测，Fortify具有源代码安全分析，可精准定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。
• Fortify SCA 支持丰富的开发环境、语言、平台和框架，可对开发与生产混合环境进行安全检查。27 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE
• 对开发人员友好的语言覆盖范围 — 支持

支持的 IDE — Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio
支持的构建工具 — Ant、Jenkins、Maven、MSBuild、Xcodebuild
支持的缺陷管理平台 — Jira、ALM、Bugzilla
支持的代码管理工具 — Git、SVN、TFS

• 漏洞覆盖范围，包括 1000 多个 SAST 漏洞分类，以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。
• Fortify静态代码分析器安装程序不再包含Fortify 静态代码分析器应用程序和工具。提供了一个单独的安装程序来安装Fortify 静态代码分析器应用程序和工具。

版本亮点

• Linux 上的 .NET 7 和 .NET 7 - 以及其他语言和框架支持的持续扩展。

• 扫描策略 - 在最合适的时间识别最严重的漏洞，并提供三种策略可供选择：经典、安全和 DevOps。

• 优先级覆盖 - 我们现在使客户能够修改 Fortify 问题的严重性，以提高灵活性和自定义性。

• 报告增强功能 - 实施高需求的报告增强功能，以实现更好的应用程序安全风险评估。

• ScanCentral SAST 改进 - 我们为 ScanCentral SAST 添加了许多可用性和功能的改进。

• 带有身份验证器应用程序的自动化 2FA - 即使在使用 WebInspect 的 2FA 环境中，也能够继续扫描。

• 客户端软件组成分析 - 客户端库的 CVE、开源项目的健康数据和可导出的 CycloneDX SBOM 现已推出。