FortifySCA介绍
支持对测试结果进行分类或划分,并分发给不同的人进行确认和修复。
·
对工具和安全代码规则可以进行集中配置和管理,使分散在不同地点的测试机统一更新,提高了效率,保证了版本的一致性。
·
支持将测试结果在企业内部进行发布,使开发人员,测试人员,安全人员和管理人员可以通过WEB浏览器进行查看和审计。实现多个部门之间的协同工作,加强对问题的快速反应,提高管理能力,提高工作效率。
·
能够按用户和角色的不同来进行权限的划分,方便企业内各个团队的交流和沟通,同时保证了测试结果的保密性。
FortifySCA 扫描的结果如下:
Fortify SCA 的结果文件为.FPR 文件,包括详细的漏洞信息:漏
洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明 及修复建议等。如下:
分级报告漏洞的信息项目的源代码 漏洞推荐修复的方法
漏洞产生的全路
径的跟踪信息
漏洞的详细说明
图2:Foritfy AWB查看结果
3.Fortify SCA 支持的平台:
4.Fortify
SCA 支持的编程语言:
5.Fortify SCA plug-In
支持的有:
6.Fortify SCA 目前能够扫描的安全漏洞种类有:
目前Fortify SCA可以扫描出约 300
种漏洞,Fortify将所有安全
漏洞整理分类,根据开发语言分项目,再细分为 8 个大类,约
300
个 子类:
强化SCA与强化SSC之间的差异
WebInspect是与SSC完美匹配的动态代码分析工具。不幸的是,他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止,我看到的大多数共同体解决方案都是在内部开发的。
实际上WebInspect(使用WebInspect Enterprise集成到SSC中,这个控制台连接到SSC,有效地创建了一个新版本的AMP)和运行在Java或.NET应用程序上的Runtime产品(以前称为RTA),并且可以在运行时执行各种各样的事情(记录/停止攻击等) -
1
@Keshi现在他们为Jenkins提供插件,并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分
请说明,同样的analyzser.exe(也称为SCA)由Audit Workbench和各种SCA插件(maven,Jenkins,eclipse,Visual Studio,IntelliJ,XCode等)调用。 SSC不运行SCA。 SSC管理从SCA输出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07