Fortify教程中心
Fortify中文网站 > 教程中心
教程中心分类
Fortify
免费下载
前往了解
Fortify扫描时内存不足应当怎样处理,以及大型项目的扫描参数又该怎样调整,这是大型项目在接入SAST时很容易碰到的问题。Fortify SCA在扫描的时候,需要经过代码转换和安全分析这两个阶段,项目的代码量越大、依赖越多、语言越复杂,内存方面的压力就会越明显。OpenText的文档也说明了,扫描所需要的物理内存,会受到代码复杂度的影响,在默认情况下,它会根据系统可用的物理内存自动去分配,但遇到OutOfMemory的时候,可以通过-Xmx去调整Java的堆内存,也可以使用SCA_VM_OPTS来统一设置内存的选项。
2026-06-29
Fortify过滤器怎么设置,以及Fortify过滤器把有效漏洞隐藏了又该怎么处理,这里的关键是先要分清楚“为了方便查看而做的过滤”和“在扫描阶段就直接把结果排除掉”这两件事情。在Fortify里面,是可以通过filter set、filter file、问题视图条件这些方式,去减少结果当中的噪音的,但如果规则设得太宽,就有可能把真实的漏洞也一起藏起来。官方的文档里面也提到过,使用filter set所隐藏的问题,当它在扫描阶段被应用的时候,是有可能不会被写入到FPR结果文件里面去的,对这一类的配置,需要特别谨慎。
2026-06-29
Fortify漏洞路径怎么分析,以及污点传播路径太长的时候又该怎样筛选重点,是很多团队在复核SAST结果时都会碰到的情况。Fortify扫出一条SQL注入、命令注入、路径遍历或者跨站脚本问题,如果只在列表里看漏洞名称,那是不够的。真正要判断它是不是有效风险,还是要看数据是从哪里来的,中间经过哪些变量和函数,最后流向了哪个危险的调用。Fortify的数据流类问题会在Analysis Trace里面展示污染数据从source到sink的路径,审计的时候这条路径就是主要的判断依据之一。
2026-06-29
Fortify的规则包应当怎样更新,以及规则包更新以后扫描出现的差异又该怎样去判断,这里的关键并不只是把规则更新到最新版本,而是需要弄清楚这次更新会不会改变扫描的结果。Fortify的规则包里面包含了安全规则和与之相关的元数据,SCA可以通过fortifyupdate这个命令去获取或者导入安全内容;在SSC里面,也可以从规则包的页面去执行服务器的更新。规则包发生变化以后,新增的漏洞、消失的漏洞,还有严重等级的变化,都有可能出现,因此在更新前后需要把基准结果保留下来,不能只盯着最终的漏洞数量去看。
2026-06-29
在Fortify SSC里面,扫描结果并不是直接放在单独的“应用名称”下的,它是需要放在具体的某个【应用版本】里面。大家在做SAST扫描结果上传的时候,不能光看FPR文件是不是生成成功了,还要看SSC里面的应用版本是不是建对了,属性是不是都填完了,上传的目标有没有选错。至于Fortify SSC应用版本怎么创建,还有Fortify SSC版本上传后为什么看不到结果,一般能顺着“建版本、传文件、看Artifacts、查Audit页面”这条线去排查。
2026-06-29
关于Fortify Audit Workbench这个工具,用户可以用它来把FPR格式的结果文件打开,从而对Fortify SCA自动扫描出来的那些程序漏洞进行人工的检查、分类、写备注以及标记状态,这个工具不单单是用来查看报告的,它的主要作用是把一堆乱七八糟的扫描告警信息,整理成开发人员能看懂去修复、管理人员能看懂去追踪的最终结论,如果想知道Fortify Audit Workbench怎么审计漏洞,以及Fortify Audit Workbench审计状态怎么同步,操作人员需要重点关注漏洞的分析判断、状态的勾选标记、备注证据的填写以及最后的上传同步这几个步骤。
2026-06-29
Fortify ScanCentral通常指Fortify ScanCentral SAST,用来把本地构建机上的扫描任务提交到Controller,再由Sensor去执行分析。它和单机版SCA不太一样,问题不只出在命令本身,还可能出在Controller、Sensor、任务池、SSC上传权限这些地方。Fortify ScanCentral怎么提交扫描,Fortify ScanCentral任务排队太久怎么办,可以按“先提交成功,再看任务状态,再处理排队原因”这个顺序排查。
2026-06-29
在进行Fortify SCA扫描的时候,漏洞并不是立刻被寻找的,在这之前,代码需要经历一个很关键的翻译阶段,很多时候项目出现报错,原因既不在于规则包,也不在于扫描策略,而是代码没被Fortify SCA成功读取进去,关于Fortify SCA翻译阶段怎么配置,以及Fortify SCA翻译日志报错怎么定位,主要需要紧盯着三件事情,也就是构建ID要对得上,依赖路径不能缺失,还有日志里写出的到底是解析错误还是环境错误。
2026-06-29
Fortify SSC的权限怎么分才合适,角色改完了怎么还是看不到应用,在安全平台多人一起用的时候,这两个问题是挺常碰到的,SSC不是光靠一个“管理员”或者“普通用户”的名头就能把访问权限管住的,它还得把角色的权限、应用版本的授权、项目团队的范围,还有认证的来源,这好几样东西揉到一块儿,才能去判断一个用户到底能干什么,按照官方文档讲的,角色的权限是能在用户管理的角色页面里查到的,一个角色到底能执行哪些操作,得一项一项去把它确认清楚。
2026-06-01
在进行SCA本地扫描或者ScanCentral打包翻译的时候,经常会碰到翻译阶段卡住不动的情况,这时候就要知道该从翻译日志的哪些报错信息开始查起。首先要明白,Fortify的翻译阶段本身并不等同于漏洞扫描,它实际上是通过sourceanalyzer工具,把源代码、配置文件或者构建命令,转换成和build ID绑定在一起的中间数据,等到后续的扫描阶段,才会再以这些中间文件作为基础,去生成最终的FPR结果。按照官方文档的解释,Translation这个步骤就是把源代码转成跟build ID关联的中间格式,然后Analysis阶段再去扫描那些已经识别出来的文件,并产生对应的结果文件。
2026-06-01

第一页123456下一页最后一页

135 2431 0251