Fortify SCA和Fortify SSC之間的區別
[英]Difference between Fortify SCA and Fortify SSC
問題描述
Fortify SCA和Fortify SSC有什么區別。 這些軟件生成的報告之間是否有任何區別。 我知道Fortify SSC是一個基於Web的應用程序。 我也可以將Fortify SCA用作基於Web的應用程序嗎?
1 個解決方案
解決方案1
21 2013-09-26 22:49:16
SCA曾經被稱為源代碼分析器(在fortify 360中),但是現在是靜態代碼分析器。 相同的首字母縮寫詞,相同的代碼,只是名稱已更改。
SSC(“軟件安全中心”)以前稱為Fortify 360 Server。 惠普對其進行了重命名並進行了其他更改。
SCA是一個命令行程序。 通常,您通常使用SCA從靜態代碼分析角度掃描代碼(通過sourceanalyzer或sourceanalyzer.jar),生成FPR,文件,然后使用Audit Workbench打開該文件或將其上傳到SSC,您可以在其中跟蹤趨勢等。
Audit Workbench與SCA一起安裝; 它是一個圖形應用程序,可讓您查看掃描結果,添加審核數據,應用過濾器以及運行簡單報告。
另一方面,SSC是基於Web的。 這是一個Java戰爭,可以安裝到tomcat或您喜歡的應用程序服務器中。 關於SSC的報告使用了不同的技術,更適合於運行集中式指標。 您可以報告特定掃描的結果或歷史記錄(當前掃描與之前的掃描之間的更改)。 如果您需要sca掃描的差異,趨勢,歷史記錄等,請在一段時間內上傳FPR后使用SSC報告。
如果沒有SSC,則基本的報告功能可讓您將FPR文件(二進制)轉換為xml,pdf或rtf,但是僅提供特定掃描的結果,而不是歷史記錄(在當前掃描和任何較早的版本)。
主題下:還有一個動態分析產品HP WebInspect。 該產品還能夠導出FPR文件,這些文件也可以導入SSC進行報告。 如果您希望定期安排動態掃描,WebInspect Enterprise可以執行此操作。
強化IA的SCA / SSC報告?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.