Fortify SCA 和 Fortify SSC 之间的区别
Posted
技术标签:
【中文标题】Fortify SCA 和 Fortify SSC 之间的区别【英文标题】:Difference between Fortify SCA and Fortify SSC 【发布时间】:2013-09-28 06:30:46 【问题描述】:Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗? 我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用作基于 Web 的应用程序吗?
【问题讨论】:
【参考方案1】:SCA 以前称为源代码分析器(在 fortify 360 中),但现在是静态代码分析器。相同的首字母缩写词,相同的代码,只是名称改变了。
SSC(“软件安全中心”)曾经被称为 Fortify 360 Server。惠普对其进行了重命名并进行了额外的更改。
SCA 是一个命令行程序。您通常使用 SCA 从静态代码分析角度扫描代码(通过 sourceanalyzer 或 sourceanalyzer.jar),生成 FPR 文件,然后使用 Audit Workbench 将其打开或上传到 SSC,您可以在其中跟踪趋势等。
Audit Workbench 与 SCA 一起安装;它是一个图形应用程序,可让您查看扫描结果、添加审核数据、应用过滤器和运行简单报告。
另一方面,SSC 是基于网络的;这是一个可以安装到 tomcat 或您喜欢的应用程序服务器中的 java 战争。 SSC 的报告使用不同的技术,更适合运行集中式指标。您可以报告特定扫描的结果或历史记录(当前扫描与任何早期扫描之间的变化)。如果您想了解 sca 扫描的差异、趋势、历史等,请在上传 FPR 一段时间后使用 SSC 进行报告。
如果没有 SSC,基本报告功能允许您将 FPR 文件(二进制)转换为 xml、pdf 或 rtf,但这只会为您提供特定扫描的结果,而不是历史记录(在当前扫描和任何更早的扫描)。
题外话:还有一个动态分析产品,HP WebInspect。该产品还能够导出 FPR 文件,同样可以将其导入 SSC 进行报告。如果您希望定期安排动态扫描,WebInspect Enterprise 可以做到这一点。
【讨论】:
WebInspect 是与 SSC 完美契合的动态代码分析工具。不幸的是,他们没有任何好的 CI 集成插件来在每次构建时自动执行此操作。到目前为止,我看到的大多数通用解决方案都是内部开发的。 实际上既有 WebInspect(使用 WebInspect Enterprise 集成到 SSC - 一个连接到 SSC 的控制台,有效地制作新版本的 AMP)和运行时产品套件(以前称为 RTA)一个 Java 或 .NET 应用程序,可以在运行时做各种事情(记录/停止攻击/等) @Keshi 现在他们为 Jenkins 提供插件,也可以与 JIRA 集成。 请澄清审计工作台和各种 SCA 插件(maven、Jenkins、eclipse、Visual Studio、IntelliJ、XCode 等)调用了相同的 sourceanalyzser.exe(又名 SCA) . SSC 不运行 SCA。 SSC 管理从 SCA 输出的 FPR 文件。 如果我安装 SCA 并使用他们的管道与 Jenkins 集成,我会得到当前的报告吗?以上是关于Fortify SCA 和 Fortify SSC 之间的区别的主要内容,如果未能解决你的问题,请参考以下文章