在源码审计工具中，Fortify绝对是占据至高地位的应用之一，其昂贵的价格和高效的审计能力一直让使用者又爱又恨，今天简单介绍一下Fortify的相关安装使用教程，方便新用户能够第一时间上手，主要是给自己备忘一下，本文不提供下载地址。

作者：古月蓝旻

安装篇

首先解压企业微信云盘里下载好的安装包，运行install-x86.exe即可，当然license也在其中

安装步骤里有一步是指定fortify.license的位置，建议把该文件放在本解压文件同目录，安装时可以自动识别

经过一系列简单的操作，记得不要选择更新rule，因为根本下载不了，然后一路下一步安装即可成功

然后将上图中rules1文件夹里bin文件直接粘贴到安装目录的\Core\config\rules文件夹下

使用篇

首先由于license的授权时间到2009年1月1日，所以，在使用产品的时候需要将电脑系统时间调整为2009年之前，虽然规则库比较老了，但是效果还是不错的

我们直接使用bwapp的源码（基于PHP）进行审计，相关配置教程引用

商业级别Fortify白盒神器介绍与使用分析

注意两点：第一点选择advance scan（高级扫描），扫描选项不要选择是j2ee类web项目

扫描大约3分钟，结果非常快

扫描结果在我看来大多数很精准，当然也需要自己手动测试一下校验，感觉非常强大

底下的数据流程图也非常赞

其它使用内容参见--网盘中代码审计-Fortify SCA使用说明.pdf