FortifySCA介紹

支持對測試結(jié)果進行分類或劃分，并分發(fā)給不同的人進行確認和修復(fù)。

·

對工具和安全代碼規(guī)則可以進行集中配置和管理，使分散在不同地點的測試機統(tǒng)一更新，提高了效率，保證了版本的一致性。

·

支持將測試結(jié)果在企業(yè)內(nèi)部進行發(fā)布，使開發(fā)人員，測試人員，安全人員和管理人員可以通過WEB瀏覽器進行查看和審計。實現(xiàn)多個部門之間的協(xié)同工作，加強對問題的快速反應(yīng)，提高管理能力，提高工作效率。

·

能夠按用戶和角色的不同來進行權(quán)限的劃分，方便企業(yè)內(nèi)各個團隊的交流和溝通，同時保證了測試結(jié)果的保密性。

FortifySCA 掃描的結(jié)果如下：

Fortify SCA 的結(jié)果文件為.FPR 文件，包括詳細的漏洞信息：漏

洞分類，漏洞產(chǎn)生的全路徑，漏洞所在的源代碼行，漏洞的詳細說明 及修復(fù)建議等。如下：

分級報告漏洞的信息 項目的源代碼 漏洞推薦修復(fù)的方法

漏洞產(chǎn)生的全路

徑的跟蹤信息

漏洞的詳細說明

圖2：Foritfy AWB 查看結(jié)果

3．Fortify SCA 支持的平臺：

4．Fortify

SCA 支持的編程語言：

5．Fortify SCA plug-In

支持的有:

6．Fortify SCA 目前能夠掃描的安全漏洞種類有：

目前Fortify SCA可以掃描出約 300

種漏洞，F(xiàn)ortify將所有安全

漏洞整理分類，根據(jù)開發(fā)語言分項目，再細分為 8 個大類，約

300

個 子類：

強化SCA與強化SSC之間的差異

WebInspect是與SSC完美匹配的動態(tài)代碼分析工具。不幸的是，他們沒有任何良好的CI集成插件來自動化這個每個構(gòu)建。到目前為止，我看到的大多數(shù)共同體解決方案都是在內(nèi)部開發(fā)的。

實際上WebInspect（使用WebInspect Enterprise集成到SSC中，這個控制臺連接到SSC，有效地創(chuàng)建了一個新版本的AMP）和運行在Java或.NET應(yīng)用程序上的Runtime產(chǎn)品（以前稱為RTA），并且可以在運行時執(zhí)行各種各樣的事情（記錄/停止攻擊等） -

1

@Keshi現(xiàn)在他們?yōu)镴enkins提供插件，并且可以與JIRA集成。 - 克里希納·潘迪2月23日16時5分13分

請說明，同樣的analyzser.exe（也稱為SCA）由Audit Workbench和各種SCA插件（maven，Jenkins，eclipse，Visual Studio，IntelliJ，XCode等）調(diào)用。 SSC不運行SCA。 SSC管理從SCA輸出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07