源代码扫描工具fortify sca-华克斯(商家)

fortify相比codeql的优势在于：

商用工具，拥有许多预设规则，比较成熟。规则开发模式比较局限，但是对于某些特定场景的规则开发相对简单。适合---规则的扫描。

fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，源代码扫描工具fortify sca，甚至一些规则编写的语法都很相似。

hp fortify sca采用的x-tier数据流程分析技术，完整分析各种程序语言之执行流程、数据输入/输出及程序语法，即使同一个应用系统中包含了不同语言的源代码，也可以完整分析及串接。透过hp fortify sca持续更新的检查规则（rulepack），让蕞新的弱点可以被发现并修补，使用者也可以自行定义审计规则，针对特殊程序编写规则或要求进行检查。

fortify “function（函数）”面板：

function（函数）面板显示了项目中的函数/方法列表。使用“function（函数）”面板可找出该函数在源代码中的位置，了解函数是否应用和匹配某个规则，以及编写和验证自定义规则。

“function（函数）”面板具有以下选项：

show（显示）：确定显示在该列表中的函数。

group by（分组方式）：将函数归类到各个包和类中，显示层次结构或直接显示所有函数而不进行分组。

include unused funct（包括未使用的函数）：显示源代码中的每个函数。默认情况下，列表中不会包含未使用的函数。