7
Fortify SCA和Fortify SSC有什么区别?这些软件产生的报告有没有区别? 我知道Fortify SSC是一个基于网络的应用程序。我是否也可以使用Fortify SCA作为基于网络的应用程序?Fortify SCA和Fortify SSC的区别
A
回答
15
SCA曾被称为源代码分析器(强化360),但现在是静态代码分析器。同样的缩写,相同的代码,只是名称改变了。
SSC(“软件安全中心”)曾被称为Fortify 360服务器。惠普重新命名并进行了其他更改。
SCA是一个命令行程序。您通常使用SCA从静态代码分析的角度扫描代码(通过sourceanalyzer或sourceanalyzer.jar),生成FPR文件,然后使用Audit Workbench打开该文件或将其上载到SSC,您可以在其中跟踪趋势等。
Audit Workbench与SCA一起安装;它是一个图形应用程序,允许您查看扫描结果,添加审核数据,应用过滤器和运行简单报告。
另一方面,SSC是基于网络的;这是一场可以安装到tomcat或者你最喜欢的应用服务器上的java战争。关于SSC的报告使用了不同的技术,更适合运行集中度量标准。您可以报告特定扫描的结果或历史记录(在当前扫描和之前的扫描之间发生了什么变化)。如果您想了解sca扫描的差异,趋势,历史等,请在一段时间内上传FPR后使用SSC进行报告。
没有SSC,基本的报告功能允许您将FPR文件(二进制文件)转换为xml,pdf或rtf,但它只给出特定扫描的结果,而不是历史记录当前扫描和任何更早的扫描)。
偏题:还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件,这些文件可以同样导入SSC进行报告。如果您希望定期安排动态扫描,WebInspect Enterprise可以做到这一点。
相关问题
- 1. 加入php.ini中SCA Fortify的
- 2. HP Fortify与Jenkins的SCA集成
- 3. 如何在Fortify SCA中更改Java版本
- 4. Fortify和AntiXSS
- 5. 强化爱生雅的SCA/SSC报告?
- 6. 惠普Fortify SSC 4.3代码行号不匹配
- 7. HP Fortify的360
- 8. Fortify SCA基于可执行文件或.o文件构建
- 9. 如何从fortify sca jenkins构建中排除文件夹?
- 10. HP Fortify - Mass assignment
- 11. Fortify的sourceanalyzer错误
- 12. Fortify和源代码库
- 13. Fortify 360 - 添加'密码'别名?
- 14. 惠普Fortify Apache Camel
- 15. Dot net fortify扫描
- 16. HP Fortify UI定制
- 17. “-fstack-protector”和“FORTIFY”选项有何不同?
- 18. 使用HP Fortify的和XCode的
- 19. Fortify隐私违规问题
- 20. Fortify的书写规则
- 21. Fortify的扫描输出
- 22. Fortify的 - 路径操作
- 23. SONAR FORTIFY插件导入
- 24. Fortify访问控制LDAP
- 25. Fortify命令行使用
- 26. Fortify Audit Workbench自动化
- 27. Fortify的找不到.NET程序集
- 28. 使用Fortify的PermGen outofmemory错误
- 29. HP Fortify的使用扫描摇篮
- 30. 如何使用Fortify的分析T-SQL
WebInspect是一款动态代码分析工具,非常适合SSC。不幸的是,他们没有任何优秀的CI集成插件来自动化每个版本。我目前看到的大多数常见解决方案都是在内部开发的。 – Keshi
实际上,两个WebInspect(使用WebInspect Enterprise集成到SSC中 - 一个连接到SSC的控制台,有效地制作新版本的AMP)以及运行在Java或.NET应用程序上的运行时产品套件(以前称为RTA)可以在运行时做各种事情(记录/阻止攻击/等) – lavamunky
@Keshi现在他们为Jenkins提供插件,并且可以与JIRA集成。 –