Fortify SCA和Fortify SSC有什么区别?这些软件生成的报告之间是否存在任何差异。 我知道Fortify SSC是一个基于网络的应用程序。我也可以将Fortify SCA用作基于网络的应用程序吗?
答案 0 :(得分:20)
SCA过去被称为源代码分析器(在fortify 360中),但现在是静态代码分析器。相同的首字母缩略词,相同的代码,只是更改名称。
SSC(“软件安全中心”)曾被称为Fortify 360 Server。惠普将其重命名并进行了其他更改。
SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码(通过sourceanalyzer或sourceanalyzer.jar),生成FPR文件,然后使用Audit Workbench打开它或将其上传到SSC,您可以在其中跟踪趋势等。
Audit Workbench与SCA一起安装;它是一个图形应用程序,允许您查看扫描结果,添加审计数据,应用过滤器和运行简单报告。
另一方面,SSC是基于网络的;这是一个可以安装到tomcat或你最喜欢的应用服务器的java war。有关SSC的报告使用不同的技术,更适合运行集中度量标准。您可以报告特定扫描的结果或历史记录(当前扫描与之前扫描之间的更改)。如果您想要sca扫描的差异,趋势,历史等,请在上传FPR一段时间后使用SSC进行报告。如果没有SSC,基本报告功能允许您将FPR文件(二进制)转换为xml,pdf或rtf,但这只会为您提供特定扫描的结果,而不是历史记录(在两者之间发生了变化)当前扫描和任何早期的扫描)。
偏离主题:还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件,这些文件同样可以导入SSC进行报告。如果您希望定期安排动态扫描,WebInspect Enterprise可以做到这一点。