Fortify SCA和Fortify SSC有什么区别.这些软件生成的报告之间是否存在任何差异.我知道Fortify SSC是一个基于网络的应用程序.我也可以将Fortify SCA用作基于Web的应用程序吗?
Mar*_*sap 21
SCA曾经被称为源代码分析器(在fortify 360中),但现在是静态代码分析器.相同的首字母缩略词,相同的代码,只是更改名称.
SSC("软件安全中心")曾经被称为Fortify 360 Server.惠普将其重命名并进行了其他更改.
SCA是一个命令行程序.您通常使用SCA从静态代码分析角度扫描代码(通过sourceanalyzer或sourceanalyzer.jar),生成FPR文件,然后使用Audit Workbench打开它或将其上传到SSC,您可以在其中跟踪趋势等.
Audit Workbench与SCA一起安装; 它是一个图形应用程序,允许您查看扫描结果,添加审核数据,应用筛选器和运行简单报告.
另一方面,SSC是基于网络的; 这是一个可以安装到tomcat或你最喜欢的应用服务器的java war.有关SSC的报告使用不同的技术,更适合运行集中度量标准.您可以报告特定扫描的结果或历史记录(当前扫描与之前扫描之间的更改).如果您想要sca扫描的差异,趋势,历史等,请在上传FPR一段时间后使用SSC进行报告.
如果没有SSC,基本报告功能允许您将FPR文件(二进制)转换为xml,pdf或rtf,但这只会为您提供特定扫描的结果,而不是历史记录(当前扫描和任何早期的).
偏离主题:还有一个动态分析产品HP WebInspect.该产品还能够导出FPR文件,这些文件同样可以导入SSC进行报告.如果您希望定期安排动态扫描,WebInspect Enterprise可以做到这一点.
| 归档时间: |
|
| 查看次数: |
15689 次 |
| 最近记录: |