MicroFocus的Fortify和Appscan大家喜欢哪个呢？

Posted 2023-04-05

参考技术A 我比较喜欢用Fortify，它可以找出漏洞的根本原因，细化到每一行代码，加快开发速度并缩短扫描时间，特别好用的。本回答被提问者采纳 参考技术B 代码安全检测当然是fortify了。

Fortify SCA 和 Fortify SSC 之间的区别

【中文标题】Fortify SCA 和 Fortify SSC 之间的区别

【英文标题】：Difference between Fortify SCA and Fortify SSC

【发布时间】：2013-09-28 06:30:46

【问题描述】：

Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗？ 我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用作基于 Web 的应用程序吗？

【参考方案1】：

SCA 以前称为源代码分析器（在 fortify 360 中），但现在是静态代码分析器。相同的首字母缩写词，相同的代码，只是名称改变了。

SSC（“软件安全中心”）曾经被称为 Fortify 360 Server。惠普对其进行了重命名并进行了额外的更改。

SCA 是一个命令行程序。您通常使用 SCA 从静态代码分析角度扫描代码（通过 sourceanalyzer 或 sourceanalyzer.jar），生成 FPR 文件，然后使用 Audit Workbench 将其打开或上传到 SSC，您可以在其中跟踪趋势等。

Audit Workbench 与 SCA 一起安装；它是一个图形应用程序，可让您查看扫描结果、添加审核数据、应用过滤器和运行简单报告。

另一方面，SSC 是基于网络的；这是一个可以安装到 tomcat 或您喜欢的应用程序服务器中的 java 战争。 SSC 的报告使用不同的技术，更适合运行集中式指标。您可以报告特定扫描的结果或历史记录（当前扫描与任何早期扫描之间的变化）。如果您想了解 sca 扫描的差异、趋势、历史等，请在上传 FPR 一段时间后使用 SSC 进行报告。

如果没有 SSC，基本报告功能允许您将 FPR 文件（二进制）转换为 xml、pdf 或 rtf，但这只会为您提供特定扫描的结果，而不是历史记录（在当前扫描和任何更早的扫描）。

题外话：还有一个动态分析产品，HP WebInspect。该产品还能够导出 FPR 文件，同样可以将其导入 SSC 进行报告。如果您希望定期安排动态扫描，WebInspect Enterprise 可以做到这一点。

【讨论】：

WebInspect 是与 SSC 完美契合的动态代码分析工具。不幸的是，他们没有任何好的 CI 集成插件来在每次构建时自动执行此操作。到目前为止，我看到的大多数通用解决方案都是内部开发的。

实际上既有 WebInspect（使用 WebInspect Enterprise 集成到 SSC - 一个连接到 SSC 的控制台，有效地制作新版本的 AMP）和运行时产品套件（以前称为 RTA）一个 Java 或 .NET 应用程序，可以在运行时做各种事情（记录/停止攻击/等）

@Keshi 现在他们为 Jenkins 提供插件，也可以与 JIRA 集成。

请澄清审计工作台和各种 SCA 插件（maven、Jenkins、eclipse、Visual Studio、IntelliJ、XCode 等）调用了相同的 sourceanalyzser.exe（又名 SCA） . SSC 不运行 SCA。 SSC 管理从 SCA 输出的 FPR 文件。

如果我安装 SCA 并使用他们的管道与 Jenkins 集成，我会得到当前的报告吗？