Fortify教程中心
Fortify中文网站 > 使用教程
教程中心分类
Fortify
免费下载
前往了解
Fortify过滤器怎么设置,以及Fortify过滤器把有效漏洞隐藏了又该怎么处理,这里的关键是先要分清楚“为了方便查看而做的过滤”和“在扫描阶段就直接把结果排除掉”这两件事情。在Fortify里面,是可以通过filter set、filter file、问题视图条件这些方式,去减少结果当中的噪音的,但如果规则设得太宽,就有可能把真实的漏洞也一起藏起来。官方的文档里面也提到过,使用filter set所隐藏的问题,当它在扫描阶段被应用的时候,是有可能不会被写入到FPR结果文件里面去的,对这一类的配置,需要特别谨慎。
2026-06-29
关于Fortify Audit Workbench这个工具,用户可以用它来把FPR格式的结果文件打开,从而对Fortify SCA自动扫描出来的那些程序漏洞进行人工的检查、分类、写备注以及标记状态,这个工具不单单是用来查看报告的,它的主要作用是把一堆乱七八糟的扫描告警信息,整理成开发人员能看懂去修复、管理人员能看懂去追踪的最终结论,如果想知道Fortify Audit Workbench怎么审计漏洞,以及Fortify Audit Workbench审计状态怎么同步,操作人员需要重点关注漏洞的分析判断、状态的勾选标记、备注证据的填写以及最后的上传同步这几个步骤。
2026-06-29
在进行SCA本地扫描或者ScanCentral打包翻译的时候,经常会碰到翻译阶段卡住不动的情况,这时候就要知道该从翻译日志的哪些报错信息开始查起。首先要明白,Fortify的翻译阶段本身并不等同于漏洞扫描,它实际上是通过sourceanalyzer工具,把源代码、配置文件或者构建命令,转换成和build ID绑定在一起的中间数据,等到后续的扫描阶段,才会再以这些中间文件作为基础,去生成最终的FPR结果。按照官方文档的解释,Translation这个步骤就是把源代码转成跟build ID关联的中间格式,然后Analysis阶段再去扫描那些已经识别出来的文件,并产生对应的结果文件。
2026-06-01
在代码扫描的结果出来之后,真正让人费时间的,往往并不是去打开那份报告,而是要把每一条缺陷到底是不是真的问题给分辨清楚;关于Fortify Audit Workbench里头的审计状态该怎么去改,以及审计的记录又该怎样导出来,这里面的关键步骤,就是先在Issues这个视图当中把要处理的缺陷给选中,然后再到Audit页签的下面去填好分析结论、标签和备注。官方的文档上也有说明,Audit Workbench这个工具是能够用来打开FPR项目并对里面的问题进行审计的,不过假如许可证对审计功能有限制的话,那就只能去看看结果和生成报告,没有办法对审计项目做修改了。
2026-06-01
很多团队在用Fortify SCA时,最容易把“翻译源码”“执行分析”“生成FPR”“上传SSC”当成一个动作去理解,结果前面命令是跑了,后面要么FPR没生成出来,要么上传到SSC时报权限或版本定位错误。OpenText官方文档对这条链路分得很清楚,SCA至少包含翻译和扫描两个阶段:先通过`sourceanalyzer`用同一个build ID把源码或构建过程收进分析上下文,再通过`-scan-f`把结果输出成FPR文件;上传到SSC,也就是当前文档里的Application Security,则要改用`fortifyclient uploadFPR`,并且必须先拿到能上传分析结果的认证token。也就是说,FPR生成和SSC上传本来就是两段流程,不能混着看。
2026-04-22
在Fortify里说“规则包更新”,本质上更新的是OpenText Application Security Content,也就是Secure Coding Rulepacks和相关元数据。官方文档已经把更新路径分成了两条,一条是直接连规则包更新服务器在线更新,另一条是先把内容下载到本地,再用命令行工具导入。真正遇到更新失败时,问题通常也集中在这两条线上,比如更新源地址改错了、代理没配好、网络读超时、环境本身不能直连外网,或者本来就应该改走离线导入。
2026-04-22
Fortify做增量扫描时,最容易误判的地方,不是结果里“少了几个问题”,而是没先分清到底是增量基线没立住,还是翻译阶段本身就没有把文件真正收进本次扫描。Fortify官方手册对这条链写得很清楚,增量分析要先做一次带`-incremental-base`的完整扫描,后续再用同一个build ID做`-incremental`;同时,翻译阶段到底收进了哪些文件,可以直接用`-show-files`和`-show-build-warnings`去核对。也就是说,漏扫问题先查翻译范围,再查增量口径,通常会比直接怀疑规则包更快。
2026-04-22
Fortify的许可证配置,本质上分成两条路。一条是本地许可证文件,也就是常见的fortify.license;另一条是通过Fortify License and Infrastructure Manager,也就是LIM,去管理并发许可证。官方文档明确说明,Static Code Analyzer既可以直接使用许可证文件,也可以接到LIM上做并发授权;同时系统要求里还特别指出,SCA如果要用LIM管并发许可证,LIM版本需要在21.2.0或以上。
2026-03-26
规则包一更新,结果数量突然往上跳,这事在Fortify里并不稀奇。问题在于,很多团队一看到数量变多,就默认是误报失控,马上想整包回退。其实更稳的做法是先把版本、扫描条件和结果范围对齐,再判断到底是新规则真的带来了噪声,还是检测口径本身变了。官方资料也提到,安全内容更新后,本来就可能出现新增发现、旧类别调整和检测逻辑变化;另外,规则包既可以从服务器更新,也可以从本地ZIP导入,所以回滚本身是有明确操作路径的。
2026-03-26
Fortify扫描vue怎么做,Fortify扫描vue扫描很慢怎么办,落地时先把前端工程的依赖、构建产物、扫描边界三件事理顺,再把Fortify扫描vue的翻译与扫描阶段固定成可复现流程,最后用范围收敛与资源配置把耗时压到可控区间,才能避免一次扫描拖垮流水线。
2026-02-04

第一页123下一页最后一页

135 2431 0251