Fortify规则库版本号怎么看，Fortify规则库怎么导入，先把规则库版本号查清，再把导入方式走通，最后做一次生效验证，才能避免告警口径在不同机器和不同流水线里来回漂移。

　　一、Fortify规则库版本号怎么看

　　Fortify规则库一般指SCA使用的安全内容与规则包，实际排查时要把SCA本机和SSC服务器分开看，因为两边各自维护规则库，版本不一致会直接影响告警类别、强度与结果展示。

　　1、在SCA本机查看规则库版本号

　　（1）在执行扫描的机器上进入SCA安装目录的bin，运行fortify update-show Installed Rules，输出会列出已安装规则包及版本号，这是最稳的核对方式；

　　（2）如果你怀疑只装了规则文件但缺元数据，可再运行fortify update-show Installed External Metadata，看外部元数据是否存在，避免规则装了但分类或描述显示异常；

　　（3）需要区分程序版本与规则库版本时，用source analyzer-version看SCA版本，用fortify update输出看规则库版本，别把程序升级当成规则库升级。

　　2、在SSC服务器查看规则库版本号

　　（1）用有权限的账号进入后台，在Administration里的Rule packs页面查看已导入列表，重点看导入时间、规则包名称与当前版本；

　　（2）如果你们是集中上传FPR到SSC审计，建议把SCA规则库版本和SSC规则库版本写进每次扫描归档，出现告警突变先比版本再追代码。

　　3、用版本号快速解释告警波动

　　（1）同一分支同一参数下告警突然增多，先看规则库是否更新，新规则上线或判定调整很常见；

　　（2）同一代码在两台机器告警差异大，先查规则库版本是否一致，再查编译参数和依赖是否一致。

　　二、Fortify规则库怎么导入

　　Fortify规则库导入通常分在线更新和离线导入两种。原则是规则文件和外部元数据要一起落到正确位置，导入完成必须用版本号复核，确认不是表面成功实际未生效。

　　1、SCA离线导入规则库

　　（1）把规则库ZIP放到本机磁盘，路径尽量用英文并避免过长，减少解压与读取异常；

　　（2）在SCA的bin目录执行fortify update-import规则库ZIP路径，导入完成立刻执行fortify update-show Installed Rules核对版本是否变化；

　　（3）如果环境不允许执行导入命令，可解压后手动拷贝，规则bin文件放到Core/config/rules，外部元数据放到Core/config/External Metadata，对应目录必须存在且具备读写权限。

　　2、SCA在线更新规则库

　　（1）确认扫描机器能访问更新服务，走代理时把代理、证书与超时设置先配好，否则更新会失败但日志不一定显眼;

　　（2）更新后仍然以show Installed Rules为准做复核，确保规则库版本号确实更新。

　　3、SSC导入与更新规则库

　　（1）在线场景在Rulepacks页面执行从服务器更新，完成后在页面里核对导入结果与版本；

　　（2）离线场景按后台导入流程上传规则包文件，导入后同样在Rulepacks页面确认版本与导入记录，避免只更新了SCA却忘了SSC。

　　三、Fortify规则库更新后如何验证生效

　　规则库更新后建议做三步验证，先验证版本，再验证文件落地，再验证扫描结果，避免出现规则已更新但扫描仍按旧口径跑的情况。

　　1、验证版本号是否真的变化

　　（1）在SCA侧记录show Installed Rules输出的版本号，并与更新前对照；

　　（2）在SSC侧对照Rulepacks页面的当前版本与导入时间，确认服务器侧也同步更新。

　　2、验证规则与元数据是否完整

　　（1）在SCA侧检查show Installed External Metadata是否能看到外部元数据条目；

　　（2）如果是手动拷贝方式，检查rules与External Metadata目录是否在默认路径下且权限正常。

　　3、用小范围复扫确认结果口径

　　（1）选一个核心模块跑一次短范围扫描，对比更新前后的新增规则与判定变化，把变化原因写进归档；

　　（2）确认结果稳定后再扩大到全仓库或CI门禁，避免一上来就被新规则带来的告警量压垮节奏。

　　总结

　　Fortify规则库版本号怎么看，Fortify规则库怎么导入，先在SCA用fortify update把版本号查明并完成在线或离线导入，再在SSC同步更新并核对Rulepacks版本，最后用版本对比与小范围复扫确认生效，才能让Fortify规则库口径长期稳定可追溯。