Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗?我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用作基于 Web 的应用程序吗?
问问题
18781 次
1 回答
23
SCA 以前称为源代码分析器(在 fortify 360 中),但现在是静态代码分析器。相同的首字母缩写词,相同的代码,只是名称改变了。
SSC(“软件安全中心”)曾经被称为 Fortify 360 Server。惠普对其进行了重命名并进行了额外的更改。
SCA 是一个命令行程序。您通常使用 SCA 从静态代码分析角度扫描代码(通过 sourceanalyzer 或 sourceanalyzer.jar),生成 FPR 文件,然后使用 Audit Workbench 将其打开或上传到 SSC,您可以在其中跟踪趋势等。
Audit Workbench 与 SCA 一起安装;它是一个图形应用程序,允许您查看扫描结果、添加审计数据、应用过滤器和运行简单的报告。
另一方面,SSC 是基于网络的;这是一个可以安装到 tomcat 或您喜欢的应用程序服务器中的 java 战争。SSC 的报告使用不同的技术,更适合运行集中式指标。您可以报告特定扫描的结果或历史记录(当前扫描与任何早期扫描之间的变化)。如果您想要 sca 扫描的差异、趋势、历史记录等,请在上传 FPR 一段时间后使用 SSC 进行报告。
如果没有 SSC,基本报告功能允许您将 FPR 文件(二进制)转换为 xml、pdf 或 rtf,但这只会为您提供特定扫描的结果,而不是历史记录(当前扫描和任何较早的)。
题外话:还有一个动态分析产品,HP WebInspect。该产品还能够导出 FPR 文件,同样可以将其导入 SSC 进行报告。如果您希望定期安排动态扫描,WebInspect Enterprise 可以做到这一点。
于 2013-09-26T22:49:16.787 回答