Fortify - это не тот инструмент, который определяет, какое OSS (ПО с открытым исходным кодом) у вас есть в вашем коде. Есть и другие коммерческие инструменты, такие как Blackducksoftware от Synopsis или SourceClear (я не рекомендую какой-либо конкретный здесь, это примеры). Некоторые из этих инструментов ищут зависимости, а некоторые сканируют на наличие уязвимостей во всех ваших OSS.
Единственный способ взломать и включить Fortify для сканирования на наличие OSS может состоять в создании пользовательских правил для сканирования комментариев в коде и поиска строк авторских прав. Это может быть излишним, но я видел такие правила Fortify в прошлом.
Существуют также коммерческие инструменты для сканирования OSS непосредственно в двоичных файлах, которые вы компилируете.
Надеюсь, это поможет.