Fortify Source Code Analyzer 5.6支援多種程式語言，可跨語言掃描

由叡揚資訊代理的Fortify Source Code Analyzer（SCA），屬於靜態程式碼安全性檢測工具，掃描完成之後，系統會指出問題程式碼，並提供修改建議。SCA目前提供本機端的掃描與資訊呈現，搭配Fortify的360 Server即有Web管理機制。

可與Java和.NET開發環境整合

SCA支援17種程式語言，例如Java、ASP.NET、VB.NET、C#、C/C++、PL/SQL、T-SQL、ColdFusion甚至COBOL等，它是目前同質性產品中支援最多開發環境與程式語言的。掃描機制除了使用Fortify開發的Audit WorkBench工具之外，也可外掛在Visual Studio 2003/2005/2008、Eclipse及JBuilder 2008開發工具中。

另一種方式是設定排程，例如規定開發團隊每周五下班前，上傳程式到伺服器，再透過排程設定系統自動執行掃描，周一上班即可檢視報表。

由SCA檢測的結果頁面，會總結掃描的檔案數、程式碼行數、找到的弱點數及花費時間等。弱點將依嚴重程度分為高風險、警告及資訊類等3種等級並以紅色、橘色、黃色呈現。

除了預設3類群組，企業也可自訂，例如定義弱點的篩選條件，並將相關的弱點指定到新增的群組中，如此，管理者只要檢視這個資料夾，就可以掌握應用程式是否存在不該有的弱點。而且這個政策可以套用到所有專案。

跨檔案、語言及階層的分析方式

現今的Web應用程式大部分都是多層式的，有前端的展示層、中間邏輯層及後端資料庫等，因此可能使用多種語言及框架（Framework）。Fortify有一套「X-Tier」分析技術，在掃描應用程式時，跨語言、檔案、階層、框架的差異執行。

為了達到跨語言的掃描，SCA會先剖析程式，轉化成Fortify看得懂的中繼檔，然後再利用Data Flow、Semantic、Control Flow、Configuration、Structural等分析引擎，串連程式邏輯，即可彙整出程式的運作邏輯。

針對檢測出的弱點，Fortify提供審查機制，由稽核人員複查各項弱點的等級，例如確認是否屬於非重要性問題、可靠性問題、不明或可疑等，然後指派人員處理。

全中文化的弱點解釋及修復建議

開發者收到修正弱點的訊息後，可點選「Diagram」功能，SCA即以UML的循序圖展現程式之間的資料流，協助開發人員透過圖形化的解說，分析、追蹤並確認問題發生的原因。此外，Forify可以匯出專屬的FPR檔，也提供開發人員修改的建議。

Fortify除了直接跳至安全弱點發生的程式碼位置，並在下方的窗格，以中文內容詳細解釋問題發生的成因及修復方案，並附上各種程式語言的範例程式，提供開發者參考。

此外，SCA的驗證規則不只是確認程式碼的安全性，也包含程式碼品質的檢查，例如無用程式碼、錯誤處理、記憶體漏失及緩衝區溢位等，因為不好的錯誤處理方式，或者不當資訊揭露，也可能導致安全性問題。所以在SCA內，目前總共有超過400條的規則，企業也可自訂專屬的規則。而原廠的掃描規則更新周期，大約一季至少一次的更新一次。

測試與上線階段也有對應方案

Fortify在弱點偵測方面的產品還包括測試階段的PTA（Program-Trace Analyzer）、負責Web應用程式上線後的監控與防禦的RTA（Real-Time analyzer），還有彙集各階段資料，提供數位分析儀表板的360 Server。

PTA則是結合功能測試及安全性測試，透過使用者錄製的操作測試腳本，分析是否有安全漏洞，若搭配程式碼，同樣可以指出問題程式。而RTA則是入侵偵測防禦系統，它透過應用程式API讀取的內容，判斷字串是否具攻擊性，並做即時的攔阻及記錄，幫助事後的分析。