一、工具介绍Fortify 能够提供静态和动态应用程序安全测试技术以及运行时应用程序监控和保护功能。可供开发团队和安全专家分析源代码检测安全漏洞。该功能可检查代码能够帮助开发人员更快更轻松地识别问题并排定问题优先级然后加以解决。获取方式代码审计利器 Fortify SCA 26.1下载安装历史版本Fortify_SCA_26.1版下载OpenText SASTFortify SCA26.1 windows/Linux/Mac全版本下载二、OpenText SAST 26.1 新增功能目前OpenTextTM SASTFortify 静态代码分析器已支持44 种语言、覆盖1524 种漏洞类别涉及超过一百万个 API。OpenText SAST 26.1 有哪些新特性宣布推出OpenText SAST 26.1本次发布重点聚焦于性能、可扩展性以及广泛的语言支持。本次更新的核心是全新的AI Analyzer这是一项新一代能力可显著加快新语言支持的开发速度使安全团队能够以前所未有的敏捷性跟上现代开发技术栈的发展。引入 AI Analyzer批量解锁新语言支持全新的AI Analyzer允许组织接入自有的大语言模型LLM从而快速创建和调优静态分析规则。这意味着可以更快地支持新的或特定领域语言而无需等待传统 SAST 的完整支持周期。借助 AI AnalyzerSAST 26.1 现已支持12 种编程语言AI 驱动的语言支持•Ada– 面向安全关键系统扩展了安全扫描能力。•Bash– 过去常被忽视的 Shell 脚本现在可进行全面分析。•Delphi– 传统和企业级应用重新获得 SAST 可视性。•Elixir– 为高并发、可扩展应用提供更深入的安全洞察。•Erlang– 电信及分布式系统获得更强的漏洞检测能力 (sysin)。•Groovy– 常用于 CI/CD 和 Jenkins 流水线现在实现全面覆盖。•Lua– 用于游戏和嵌入式系统的轻量脚本语言现已受到保护。•Perl– 传统自动化及后端代码库获得更新的扫描能力。•PowerShell– 支持 Windows 自动化及基础设施即代码IaC场景。•R– 数据科学和统计环境获得安全控制能力。•Ruby– 支持动态 Web 应用及脚本并涵盖主流框架如Ruby on Rails。•Rust– 快速发展的系统编程语言现已纳入安全支持范围。在这些语言中AI Analyzer 为每种语言覆盖20 漏洞类别包括注入类漏洞、不安全配置、加密误用、不安全反序列化、凭证管理问题等。主流框架例如Ruby-on-Rails开箱即支持。引擎其他更新OpenText SAST 26.1 还包含重要的兼容性更新以确保工具链保持现代化与稳定性•支持 Xcode 26.1.1– 确保在最新 Apple 开发环境中的无缝安全分析。•支持 Python 3.14– 紧跟 Python 生态系统的最新发展。这些更新确保开发者能够使用最新工具链同时受益于 SAST 26.1 的增强能力。安全内容更新除了通过 AI Analyzer 扩展语言支持外研究团队还在多个领域进行了更新AI ML 内容更新以下库已更新以确保与这些快速发展的领域中的最新 API 变更保持兼容• OpenAI• LangChain加密更新延续在 25.4 中的工作为帮助组织识别不具备抗后量子密码PQC攻击能力的代码26.1 在使用Node.js和Java 的 Bouncy Castle时增加了相关支持。报告更新为确保组织能够持续优先处理对其行业最重要的问题OpenText SAST 26.1 的安全内容已映射到最新标准和最佳实践• OWASP Top 10 2025• DISA 应用安全与开发 STIG 6.4• 2025 CWE Top 25其他重要改进与差异误报减少及其他检测优化• .NET 应用 – 移除了与 System.Linq.Enumerable.Select 相关的误报• 缓冲区溢出 – 在存在最小字符串长度检查保护时移除了数据流相关误报• 跨客户端数据访问 – 新增 ABAP 中未授权跨客户端数据访问问题检测 (sysin)• 跨站脚本XSS – 在 Java EE 和 Jakarta EE 应用中当自动转义生效时移除误报• Dockerfile 配置错误敏感主机目录 – 在 Dockerfile 的 COPY 和 ADD 操作中移除误报• [新增] 隐私违规持久化凭证 – 在 .NET 中错误配置 SQL Server 数据库连接以持久化凭证时新增问题检测• SQL 注入 – 新增对 ABAP SQLOpen SQL的检测能力• 字符串终止错误 – 在复杂数据结构存在空值赋值时移除误报• 多项性能优化以防止扫描“卡死”三、使用方法启动方法設置 - 运行安装程序并选择安装路径。 - 確保将 fortify.license 文件保留在安装程序所在的同一目录中。 - 安装完成后将文件 fortify-common-xx.x.x.xxxx.jar 替换到每个工具的路径中例如 - Windows 系统下的 SCAC:\Program Files\Fortify\Fortify_SCA_XX.X.x\Core\lib - Apps 和 ToolsC:\Program Files\Fortify\Fortify_Apps_and_Tools_xx.x.x\Core\ - 现在您可以开始使用了 - 对于在 Linux 和 OSX 系统上运行图形界面部分请前往 Apps 和 Tools 的 bin 目录并运行名为“auditworkbench”的可执行文件。 - 享受您的扫描吧 規則設置 - 將整個存檔文件提取至 SCA 目錄的規則路徑中例如在 Windows 系統下 - C:\Program Files\Fortify\Fortify_SCA_xx.x.x\Core\config\rules - 完成下载链接代码审计利器 Fortify SCA 26.1下载安装推荐运行在Windows 11中