代码测试工具是安全测试、代码审计中经常会用到的一款软件测试工具，支持超过27种语言，超过911,000个组件级API，覆盖810多个SAST漏洞分类。通过Fortify的安全编码规则库，可以定位漏洞根本原因，参考漏洞修复指南。Fortify现在已发布的最新版本是Fortify 22.1.0 版本，首先我们先一起来看一下最新版本与老版本相比有哪些新功能，然后再带大家一起了解一下这款代码审计工具的实操。 

最新发布的 Fortify 22.1.0 版本，能高度兼容最新的软件技术，对运营环境常见的应用安全用例的兼容性也更加广泛，主要有以下更新：

操作系统更新

新增对以下操作系统和版本的支持：

- macOS 12

- Windows 11

编译器更新

新增对以下编译器版本的支持：

- Clang 13.1.6

- OpenJDK javac 17

- Swiftc 5.6

- cl (MSVC) 2015 and 2022

构建工具更新

新增对以下构建工具版本的支持：

- Gradle 7.4.x

- MSBuild 14.0, 17.0, 17.1 and 17.2

- Xcodebuild 13.3 and 13.3.1

语言和框架更新

- C# 10

- .NET 6.0

- C/C++ 20

- HCL 2.0

- Java 17

- TypeScript 4.4 和 4.5

现在已经可以支持 Visual Studio 2022、IntelliJ 2021.x。Fortify Audit Workbench、Fortify Eclipse Complete Plugin 和 Fortify Extension for Visual Studio 中的选项菜单能够导入从客户门户下载的 Fortify 所有规则包。

现在在两个 FPR 之间能比较扫描文件的 LOC，并查看 FPR 分析文件的 LOC 计数（-loc），或使用 FPRUtility（-loc，-compareTo）在两个 FPR 之间比较 LOC 计数。

现在，用户可以通过服务器的“rulepackupdate.SocketReadTimeoutSeconds”属性配置 fortifyupdate 的 socket 超时。默认值是 180。

可以用 shortfilename 作为问题模板中的搜索修饰符，来过滤或隐藏与文件名匹配的问题。如果进行全路径匹配，可以继续使用文件搜索修饰符。

以上是代码测试工具Fortify最新版本的一些新的更新与亮点，接下来我们一起来看一下代码测试工具Fortify的实操。

1、通过“Audit Workbench”进行测试。

“Audit Workbench”支持Java语言源代码的测试

（1） 打开桌面Fortify SCA 20.1 代码审计引擎，在主页面选择代码测试语言类型。
①如果是Java语言项目，选择“Scan Java Project”

②如果是非Java语言，选择“Advanced Scan”

（3） 选择被测试代码所在目录

（4） 选择Java版本

（5） 进行代码测试配置

（6） 运行代码测试

（7） 查看代码测试结果

4、测试报告生成
①打开“Audit Workbench”中的“Tools-Reports”，选择“Generate BIRT Report”或者“Generate Legacy Report”

② 在报告模板“Report Template”中选择“Developer Workbook”，点击“Generate”按钮，工具会自动生成报告。

除此之外，还有另外两种模式，通过“Scan Wizard”进行测试和通过命令行进行测试，命令行方式支持各语言源代码的测试，这两种方式我们在后面的文章中将继续为大家介绍。

（谢绝转载，更多内容可查看我的主页）