Fortify教程中心
Fortify中文网站 > 最新资讯
教程中心分类
Fortify
免费下载
前往了解
Fortify扫描时内存不足应当怎样处理,以及大型项目的扫描参数又该怎样调整,这是大型项目在接入SAST时很容易碰到的问题。Fortify SCA在扫描的时候,需要经过代码转换和安全分析这两个阶段,项目的代码量越大、依赖越多、语言越复杂,内存方面的压力就会越明显。OpenText的文档也说明了,扫描所需要的物理内存,会受到代码复杂度的影响,在默认情况下,它会根据系统可用的物理内存自动去分配,但遇到OutOfMemory的时候,可以通过-Xmx去调整Java的堆内存,也可以使用SCA_VM_OPTS来统一设置内存的选项。
2026-06-29
在Fortify SSC里面,扫描结果并不是直接放在单独的“应用名称”下的,它是需要放在具体的某个【应用版本】里面。大家在做SAST扫描结果上传的时候,不能光看FPR文件是不是生成成功了,还要看SSC里面的应用版本是不是建对了,属性是不是都填完了,上传的目标有没有选错。至于Fortify SSC应用版本怎么创建,还有Fortify SSC版本上传后为什么看不到结果,一般能顺着“建版本、传文件、看Artifacts、查Audit页面”这条线去排查。
2026-06-29
Fortify SSC的权限怎么分才合适,角色改完了怎么还是看不到应用,在安全平台多人一起用的时候,这两个问题是挺常碰到的,SSC不是光靠一个“管理员”或者“普通用户”的名头就能把访问权限管住的,它还得把角色的权限、应用版本的授权、项目团队的范围,还有认证的来源,这好几样东西揉到一块儿,才能去判断一个用户到底能干什么,按照官方文档讲的,角色的权限是能在用户管理的角色页面里查到的,一个角色到底能执行哪些操作,得一项一项去把它确认清楚。
2026-06-01
在Fortify SSC这类安全平台上面,多人一起协作的时候,经常会碰到两个比较头疼的问题,一个是权限到底该怎么分配才算合理,另一个就是明明已经改完了角色,可用户登录之后还是说看不到应用。SSC控制访问权限并不是简单地给用户贴上一个“管理员”或者“普通用户”的标签就完事了,它会把角色本身所带的权限、应用版本这一级的授权、项目团队的划分范围,还有用户是从哪里做的身份认证,这好几样东西综合到一起来决定某个人到底能干什么。按照官方的说明文档,角色所对应的权限可以去【Administration】→【Users】→【Roles】这个路径里面查看,而且每一个角色底下到底能够执行哪些具体的操作,都需要一条一条地去核对清楚。
2026-06-01
在Fortify里做权限,最容易出问题的不是按钮不会点,而是一开始就把“系统角色”和“项目访问”混成了一层。Fortify Software Security Center的官方文档写得很清楚,角色负责定义一个用户能做哪些动作,应用版本访问则决定这个用户能看和能操作哪些项目;同时,系统还支持自定义角色、LDAP角色映射,以及把用户单独分配到具体应用版本。也就是说,权限设计不是只建几个角色就结束,而是要把“能做什么”和“能进哪几个项目”分开管。
2026-04-22
很多团队说做Fortify基线,实际做出来的却只是一次首扫结果。真正能长期拿来比新增、比移除、比审计效率的基线,关键不在“先扫一次”,而在“先把应用版本、模板、过滤口径和后续上传方式固定住”。Fortify Application Security会把新上传结果并入同一个应用版本的既有结果里,并判断问题是不是上一次就存在,问题在最新扫描里消失后还会被标记为removed,所以基线本质上是同一应用版本上的第一份稳定全量结果,而不是单独一份文件。
2026-04-22
在Fortify里做规则定制,真正要先分清的是你要改哪一层。第一层是规则内容本身,也就是用Fortify Custom Rules Editor去写或改自定义规则;第二层是规则装载方式,也就是让本地SAST扫描器、Audit Workbench或SSC真正吃到这份自定义Rulepack。官方文档明确说明,Fortify支持编写自定义规则来补充内置安全内容,适合落地企业自有安全规范、第三方库识别和预编译组件分析;同时,Custom Rules Editor就是官方提供的自定义规则编辑工具,而Custom Rules Guide随产品下载包提供。
2026-03-26
很多团队第一次碰到这个问题时,都会下意识去找一个“只扫改动代码”的开关,觉得把参数一加,Fortify就能像普通增量构建那样轻下来。可真跑到流水线里,常见情况反而是时间没怎么降,结果还不敢完全信。这里最容易绕进去的一点是,当前SCA版本里,官方意义上的Incremental Analysis已经不是一个还能正常开启的主线能力了,所以这件事不能只盯着命令参数看,还得先把产品边界和工程做法分开。
2026-03-26
Fortify扫描c++怎么配,Fortify扫描c++跨编译怎么做,很多团队卡在两点:一是翻译阶段抓不到真实编译语义,导致Fortify扫描c++覆盖不全或误报偏多;二是跨编译链路里工具链与头文件体系复杂,环境一变结果就飘。把配置口径、构建采集、跨编译隔离三件事做稳,Fortify代码扫描才能跑得准、跑得久。
2026-02-04
Fortify规则怎么定制,Fortify规则自定义与测试生效怎么做,真正难点不在“写出一条规则”,而在把规则做成可安装、可回滚、可复验的工程资产,并且让SCA与SSC两端口径一致。下面按定制思路、测试生效、版本管理三块拆开讲清。
2026-02-04

第一页12下一页最后一页

135 2431 0251