Fortify的许可证配置，本质上分成两条路。一条是本地许可证文件，也就是常见的fortify.license；另一条是通过Fortify License and Infrastructure Manager，也就是LIM，去管理并发许可证。官方文档明确说明，Static Code Analyzer既可以直接使用许可证文件，也可以接到LIM上做并发授权；同时系统要求里还特别指出，SCA如果要用LIM管并发许可证，LIM版本需要在21.2.0或以上。

　　一、fortify工具许可证怎么配

　　做许可证配置时，先要把“你是单机许可证，还是并发许可证”分清楚。前者重点是许可证文件放对位置，后者重点是先把LIM配好，再让客户端去取座席。这样后面碰到授权失败时，定位才不会一会儿查文件一会儿查服务器，来回打转。

　　1、先确认你走的是本地许可证还是LIM并发许可证

　　如果是单机或本地模式，重点就是fortify.license文件；如果是多人共享座席，就要走LIM。官方SCA用户指南明确写到，SCA可以使用许可证文件，也可以选择用LIM管理并发许可证。

　　2、单机许可证先把fortify.license放到安装目录

　　对于本地许可证，最稳的做法就是把fortify.license放到SCA安装目录。官方在更新过期许可证的说明里直接给出做法，就是把更新后的fortify license file放进``。

　　3、并发许可证先把LIM端激活并建好许可证池

　　LIM不会自己生成激活码，官方说明里写得很清楚，激活令牌由OpenText提供，管理员把令牌加入LIM数据库后，再通过LIM去分配和释放座席。也就是说，并发授权的真正起点不是客户端，而是LIM服务器和许可证池。

　　4、SCA走并发授权前先确认LIM版本够新

　　官方系统要求明确指出，SCA使用LIM管理并发许可证时，LIM版本需要21.2.0或更高。这个前提最好在接入前先核对，不然客户端即使能看到LIM地址，后面也可能在授权阶段出问题。

　　5、ScanCentral SAST场景要把传感器也接到LIM

　　如果你用的是ScanCentral SAST，不只是单机SCA客户端要拿许可证，传感器同样要通过LIM获取并发座席。官方配置说明明确写到，ScanCentral SAST sensors可以运行OpenText SAST with LIM。

　　6、许可证到期后优先按官方方式续期

　　SCA的许可证按年到期，官方说明里提到，更新过期许可证时要重新获取新的Fortify license file，并替换到安装目录。也就是说，续期的标准动作是更新许可证文件，不是继续拿旧文件硬跑。

　　二、fortify工具授权占用与释放怎么处理

　　授权占用与释放，最关键的是搞清楚“谁在占用座席”和“什么时候会自动归还”。官方LIM文档对这一点讲得很直接，Fortify产品在启动时会从LIM租一个seat，关闭时会把这个lease归还给许可证池；如果是ScanCentral SAST，作业完成、取消、超时或失败后，也会释放许可证。

　　1、先理解seat和lease的关系

　　官方LIM指南把seat解释成并发座席，把lease解释成某次运行占用到的租约。也就是说，你看到的“授权占用”不是永久锁死，而是某个产品实例当前持有的租约。

　　2、普通客户端关闭后会自动释放座席

　　对于接到LIM的Fortify产品，官方说明明确写到，产品启动时会租一个seat，关闭软件时就会把这个lease返回到池里。因此日常释放失败的第一检查项，不是先删许可证，而是先确认客户端进程是否真的退出。

　　3、ScanCentral SAST作业结束后也会自动释放

　　如果你用的是ScanCentral SAST，官方文档写得更具体，扫描作业完成、取消、超时或失败时，许可证都会被释放。所以一旦发现座席长期被占，优先回头查是不是还有未结束或异常挂起的扫描任务。

　　4、离线使用要特别注意detached lease

　　官方LIM指南还给出了detached lease的概念，也就是脱离企业内网后仍可在一段时间内使用的租约。这类租约不会像connected模式那样在简单关闭后立刻回池，所以处理占用时要先分清是不是detached。

　　5、座席异常不释放时先回LIM查活动记录

　　并发授权出现异常时，最稳的处理方式不是直接重建池，而是先在LIM里看当前产品使用情况和活动详情。官方LIM指南本身就是用来管理分配和释放seat lease的，所以授权问题应优先回到LIM端核对。

　　6、长期治理要把并发和单机口径分开

　　如果有的机器用本地fortify.license，有的机器走LIM并发，日常排障最容易混淆。更稳的做法是把“本地许可证机器”和“并发许可证机器”分开管理，这样授权占用与释放的问题就能优先落到正确链路上。

　　三、fortify许可证与授权释放怎么复核

　　前两部分解决的是怎么配和怎么放，这一部分解决的是怎样把授权状态长期管稳。真正省事的做法，不是每次出问题再临时找文档，而是把许可证来源、LIM版本、座席池和释放规则固定成一套内部检查表。这样后面不管是SCA、ScanCentral SAST，还是其他接LIM的Fortify组件，处理思路都会一致。

　　1、先固定许可证模式清单

　　把哪些节点用fortify.license，哪些节点走LIM，并发池名称和用途分别记录清楚。这样授权出问题时，能直接知道应该查本地文件还是查LIM。

　　2、把LIM版本和产品版本一起核对

　　尤其是SCA并发场景，先核LIM是否满足21.2.0及以上要求，再去看客户端配置，效率会高很多。

　　3、把释放规则写进运维说明

　　普通客户端关闭即释放，ScanCentral SAST的作业完成、取消、超时、失败也会释放，这些规则最好写成固定说明，后续一线排查就不会误判成“许可证丢了”。

　　4、到期续期时优先替换文件或更新令牌

　　单机授权按官方方式替换fortify.license，并发授权按LIM令牌和许可证池更新，不要把续期和释放两个动作混成一件事。

　　总结

　　Fortify工具许可证配置，先分清本地fortify.license和LIM并发授权两条路，再按各自口径去落地。授权占用与释放的处理，则要先抓住官方定义的seat和lease逻辑，普通客户端看进程是否关闭，ScanCentral SAST看作业是否真正结束。把许可证模式、LIM版本和释放规则固定下来后，后面处理Fortify授权问题会稳很多。