Fortify SCA 是静态代码检测领域应用较为普遍的一款代码检测工具，无需部署或运行应用程序，即可实现对源代码、字节码和二进制文件进行分析，识别并消除应用程序中存在的安全漏洞。开发人员可以很便捷地实时查看扫描结果，定位代码行，获取安全建议。Fortify具有非常完善的IDE支持，可以集成到集成开发环境当中，在开发的编码和测试阶段进行漏洞修复，提高发布效率。

Fortify SCA 2026 新功能

AI分析仪：解锁各种新语言

• 新的AI分析仪赋能组织嵌入自己的大型语言模型，实现静态分析规则的快速创建和调整。这意味着新语言或专用语言的上线速度更快，无需等待完整的传统 SAST 支持。

借助AI分析仪，Fortify 26.1现已覆盖12种编程语言：

• AI驱动的语言支持
• ADA – 现代安全关键系统获得了更广泛的安全扫描能力。
• Bash – 经常被忽视的 Shell 脚本现在可以被全面分析。
• Delphi——遗留和企业应用获得了SAST的全新可见性。
• Elixir——可扩展、并发应用获得更深层的安全洞察。
• Erlang——电信和分布式系统受益于强健的漏洞检测。
• Groovy—— 在 CI/CD 和 Jenkins 流程中很受欢迎，现在已全面翻唱。
• Lua——游戏和嵌入式系统的轻量脚本现已受到保护。
• Perl – 长期自动化和后端代码库获得更新扫描功能。
• PowerShell——Windows自动化和基础设施即代码工作流程的必备工具。
• R – 数据科学和统计环境获得安全控制权。
• Ruby——支持动态网页应用和脚本，支持Ruby on Rails等主流框架。
• Rust——一种快速发展的系统编程语言，现已纳入安全开发。

在这些语言中，AI 分析仪涵盖了每个支持语言的20+个漏洞类别，包括注入漏洞、不安全配置、密码学滥用、不安全的反序列化、凭据管理问题等。主要框架如Ruby-on-Rails得到了支持。

兼容性更新

• 对Xcode 26.1.1的支持——确保在最新苹果开发环境中实现无缝的安全分析。
• 支持Python 3.14——跟上最新的Python生态系统改进。

安全内容更新

• 人工智能与机器学习内容更新：OpenAI；LangChain
• 加密更新：继我们在25.4版本中的工作，为了帮助组织掌握无法抵抗后量子密码学（PQC）攻击的代码，26.1版本在使用Node.js和Bouncy Castle for Java时提供了该领域的额外支持。
• 报告更新：为了确保组织能够持续优先处理对其行业最重要的问题，Fortify 26.1 安全内容包含了映射到最新标准和最佳实践的类别：
• OWASP Top 10 2025
• DISA Application Security and Development STIG 6.4
• 2025 CWE Top 25

误报减少及其他检测改进

• .NET 应用程序——与 System.Linq.Enumerable.Select 相关的误报已移除
• 缓冲区溢出——当设置保护以检查最小字符串长度时，数据流问题被消除
• 跨客户端数据访问——ABAP中检测未授权跨客户端数据访问的新问题
• 跨站脚本——在 Java EE 和 Jakarta EE 应用中自动逃逸时，会消除误报
• Dockerfile 配置错误：敏感主机目录——在 Dockerfile 中 COPY 和 ADD作中已移除误报
• [新]隐私侵犯：持久凭证——在 .NET 中错误配置 SQL Server DB 连接以持久凭证时出现的新问题
• SQL 注入——ABAP SQL（开放 SQL）检测到新问题
• 字符串终止错误——当复杂数据结构存在空赋值时，误报被消除
• 为防止扫描“挂机”，进行了各种性能改进

OpenText Static Application Security Testing (Fortify) 26.1 安装教程

• 这里以windows为例，macOS和Linux参照安装包readme即可

1、打开OpenText_SAST_Fortify_Windows_26.1.0文件夹，安装OpenText_SAST_Fortify_windows-x64_26.1.0

5、安装后，复制fortify-common-26.1.0.0012.jar到以下路径替换

C:\Program Files\Fortify\OpenText_SAST_Fortify_26.1.0\Core\lib

6、打开rules 2026.1.0文件夹，复制rules文件夹到以下路径

C:\Program Files\Fortify\OpenText_SAST_Fortify_26.1.0\Core\config

安装Fortify  Tools（可视化操作）

1、windows安装OpenText_Application_Security_Tools_windows-x64_25.4.0.exe

4、windows上面开始菜单运行【audit workbench】

• 在 Linux 和 macOS 上运行图形界面：进入 Apps and Tools 的 bin 目录，执行名为 auditworkbench 的可执行文件。

5、安装完成，开始安全扫描

规则库：

相关文件下载

OpenText Static Application Security Testing (Fortify) 26.1 (macOS, Linux, Windows) 安装包下载

Fortify-Rules-2026.1.0：