Fortify SCA和Fortify SSC有什麼區別?這些軟件產生的報告有沒有區別? 我知道Fortify SSC是一個基於網絡的應用程序。我是否也可以使用Fortify SCA作爲基於網絡的應用程序?Fortify SCA和Fortify SSC的區別
7
A
回答
15
SCA曾被稱爲源代碼分析器(強化360),但現在是靜態代碼分析器。同樣的縮寫,相同的代碼,只是名稱改變了。
SSC(「軟件安全中心」)曾被稱爲Fortify 360服務器。惠普重新命名並進行了其他更改。
SCA是一個命令行程序。您通常使用SCA從靜態代碼分析的角度掃描代碼(通過sourceanalyzer或sourceanalyzer.jar),生成FPR文件,然後使用Audit Workbench打開該文件或將其上載到SSC,您可以在其中跟蹤趨勢等。
Audit Workbench與SCA一起安裝;它是一個圖形應用程序,允許您查看掃描結果,添加審覈數據,應用過濾器和運行簡單報告。
另一方面,SSC是基於網絡的;這是一場可以安裝到tomcat或者你最喜歡的應用服務器上的java戰爭。關於SSC的報告使用了不同的技術,更適合運行集中度量標準。您可以報告特定掃描的結果或歷史記錄(在當前掃描和之前的掃描之間發生了什麼變化)。如果您想了解sca掃描的差異,趨勢,歷史等,請在一段時間內上傳FPR後使用SSC進行報告。
沒有SSC,基本的報告功能允許您將FPR文件(二進制文件)轉換爲xml,pdf或rtf,但它只給出特定掃描的結果,而不是歷史記錄當前掃描和任何更早的掃描)。
偏題:還有一個動態分析產品HP WebInspect。該產品還能夠導出FPR文件,這些文件可以同樣導入SSC進行報告。如果您希望定期安排動態掃描,WebInspect Enterprise可以做到這一點。
相關問題
- 1. Fortify SCA v4.21 jenkins
- 2. Fortify 4.2 SSC錯誤處理
- 3. 加入php.ini中SCA Fortify的
- 4. HP Fortify Android SCA構建
- 5. HP Fortify與Jenkins的SCA集成
- 6. Fortify SCA排除多個文件
- 7. Fortify的和DLL
- 8. 如何在Fortify SCA中更改Java版本
- 9. Fortify和AntiXSS
- 10. 強化愛生雅的SCA/SSC報告?
- 11. 惠普Fortify SSC 4.3代碼行號不匹配
- 12. HP Fortify的360
- 13. Fortify SCA基於可執行文件或.o文件構建
- 14. Fortify SCA排除測試文件夾\文件
- 15. 如何從fortify sca jenkins構建中排除文件夾?
- 16. HP Fortify - Mass assignment
- 17. Fortify和源代碼庫
- 18. Fortify的sourceanalyzer錯誤
- 19. Can Fortify能識別servlet過濾器嗎?
- 20. Fortify 360 - 添加'密碼'別名?
- 21. 惠普Fortify Apache Camel
- 22. Dot net fortify掃描
- 23. HP Fortify UI定製
- 24. 「-fstack-protector」和「FORTIFY」選項有何不同?
- 25. 使用HP Fortify的和XCode的
- 26. Fortify隱私違規問題
- 27. Fortify的掃描輸出
- 28. Fortify的 - 路徑操作
- 29. Fortify的書寫規則
- 30. SONAR FORTIFY插件導入
WebInspect是一款動態代碼分析工具,非常適合SSC。不幸的是,他們沒有任何優秀的CI集成插件來自動化每個版本。我目前看到的大多數常見解決方案都是在內部開發的。 – Keshi
實際上,兩個WebInspect(使用WebInspect Enterprise集成到SSC中 - 一個連接到SSC的控制檯,有效地製作新版本的AMP)以及運行在Java或.NET應用程序上的運行時產品套件(以前稱爲RTA)可以在運行時做各種事情(記錄/阻止攻擊/等) – lavamunky
@Keshi現在他們爲Jenkins提供插件,並且可以與JIRA集成。 –