苏州华克斯-源代码审计工具fortify价格

FortifySCA与强化SSC之间的差异

Fortify SCA和Fortify SSC有什么区别？这些软件产生的报告是否有差异。我知道Fortify SSC是一个基于网络的应用程序。我可以使用Fortify SCA作为基于Web的应用程序吗？

Fortify SCA以前被称为源代码分析器（在fortify 360中），但现在是静态代码分析器。相同的首字母缩略词，相同的代码，只是名字改变了。

SSC（“软件安全中心”）以前称为Fortify 360 Server。惠普重新命名并进行了其他更改。

SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码（通过sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打开该文件，或将其上传到SSC，fortify价格，您可以在其中跟踪趋势。

审计工作台与SCA一起安装;它是一个图形应用程序，允许您查看扫描结果，源代码扫描工具fortify价格，添加审核数据，应用过滤器和运行简单报告。

另一方面，SSC是基于网络的;这是一个可以安装到tomcat或您喜欢的应用程序服务器的java。关于SSC的报告使用不同的技术，更适he运行集中度量。您可以报告特定扫描的结果，或历史记录（当前扫描与之前的扫描之间发生变化）。如果您想要扫描扫描的差异，趋势，源代码检测工具fortify价格，历史等，请在上传FPR一段时间后使用SSC进行报告。

没有SSC，基本报告功能允许您将FPR文件（二进制）转换为xml，pdf或rtf，但只能给出特定扫描的结果，而不是历史记录（当前扫描和任何早期的）。

关闭主题：还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件，可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描，WebInspect Enterprise可以做到这一点。

Fortify SCA 扫描的结果如下：

Fortify SCA 的结果文件为.FPR 文件，包括详细的漏洞信息：漏

洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明 及修复建议等。如下：

分级报告漏洞的信息                      项目的源代码                 漏洞推荐修复的方法

漏洞产生的全路

径的跟踪信息

漏洞的详细说明

图2：Foritfy AWB  查看结果

3．Fortify SCA 支持的平台：

4．Fortify

SCA 支持的编程语言：

5．Fortify SCA plug-In

支持的有:

6．Fortify SCA 目前能够扫描的安全漏洞种类有：

目前Fortify SCA可以扫描出约 300

种漏洞，Fortify将所有安全

漏洞整理分类，根据开发语言分项目，再细分为 8 个大类，约

300

个 子类：

Fortify SCA 简介

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，源代码审计工具fortify价格，分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在

的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的 提供。

1．Fortify

SCA 扫描引擎介绍：

Foritfy   SCA

主要包含的五大分析引擎：

z   数据流引擎：跟踪，记录并分析程序中的数据传递过程所产生

的安全问题。

z 语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

z 结构引擎：分析程序上下文环境，结构中的安全问题。

z   控制流引擎：分析程序特定时间，状态下执行操作指令的安全 问题。

z   配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全

问题。

z   特有的 X-Tier?跟zong器：跨跃项目的上下层次，贯穿程序来综合 分析问题