【源代码扫描工具】-fortify SCA使用

1-Fortify SCA 静态分析原理

1）Translation-把各种语言的源代码转为一种统一的中间语言代码。
      即通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析清楚。 首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析清楚。

2）Analysis-根据中间代码分析代码漏洞，并得出报告。
     通过8个分析不同类型问题的静态分析引擎分析这个NST，匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件，用AWB打开查看。

注意：

2-Fortify SCA 扫描的结果

Fortify SCA 的结果文件为.FPR文件，包括详细的漏洞信息：漏洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明及修复建议等。