Czym różni się Fortify SCA od Fortify SSC. Czy jest jakaś różnica między raportami generowanymi przez te oprogramowanie. Mam świadomość, że Fortify SSC to aplikacja internetowa. Czy mogę używać Fortify SCA jako aplikacji internetowej?Różnica między Fortify SCA a Fortify SSC
SCA był znany jako analizator kodu źródłowego (w fortyfikacji 360), ale obecnie jest statycznym analizatorem kodu. Ten sam akronim, ten sam kod, tylko nazwa zmieniła się.
SSC ("Software Security Center") było znane jako Fortify 360 Server. Firma HP zmieniła nazwę i wprowadziła dodatkowe zmiany.
SCA to program linii poleceń. Zwykle używasz SCA do skanowania kodu (przez sourceanalyzer lub sourceanalyzer.jar) z perspektywy statycznej analizy kodu, generowania pliku FPR, następnie otwierania go za pomocą Audit Workbench lub przesyłania go do SSC, gdzie możesz śledzić trendy itp.
Audit Workbench jest instalowany razem z SCA; jest to aplikacja graficzna, która umożliwia przeglądanie wyników skanowania, dodawanie danych audytu, stosowanie filtrów i uruchamianie prostych raportów.
SSC z drugiej strony jest oparte na sieci; to wojna java, którą można zainstalować w tomcat lub na ulubionym serwerze aplikacji. Raporty o SSC używają innej technologii i lepiej nadają się do uruchamiania scentralizowanych wskaźników. Możesz raportować wyniki konkretnego skanu lub historię (co zmieniło się pomiędzy bieżącym skanowaniem a wcześniejszymi). Jeśli chcesz uzyskać informacje o różnicach, trendach, historii itd. Skanowania skanerów, użyj SSC do zgłoszenia po przesłaniu FPR w pewnym okresie czasu.
Bez SSC, podstawowa funkcja raportowania pozwala konwertować pliki FPR (które są binarne) na xml, pdf lub rtf, ale to tylko daje wyniki tego konkretnego skanowania, a nie historię (co zmieniło się pomiędzy bieżące skanowanie i wcześniejsze).
Nietypowy temat: Istnieje również produkt analizy dynamicznej, HP WebInspect. Ten produkt może również eksportować pliki FPR, które można również zaimportować do SSC w celu raportowania. Jeśli chcesz regularnie planować dynamiczne skanowanie, WebInspect Enterprise może to zrobić.
WebInspect to dynamiczne narzędzie do analizy kodu, które idealnie pasuje do SSC. Niefortunne, że nie mają żadnej dobrej wtyczki integracji CI, aby zautomatyzować to na podstawie kompilacji. Większość wspólnych rozwiązań, które widzę do tej pory, powstaje w domu. – Keshi
W rzeczywistości istnieje zarówno WebInspect (który integruje się z SSC przy użyciu WebInspect Enterprise - konsola, która łączy się z SSC, skutecznie tworząc nową wersję AMP) i pakiet Runtime produktów (wcześniej RTA), które działają na aplikacji Java lub .NET i może robić różne rzeczy (rejestrowanie/zatrzymywanie ataków/itp.) w środowisku wykonawczym – lavamunky
@Keshi Teraz dostarczają wtyczek dla Jenkinsa i mogą integrować się z JIRA. –