7
Fortify SCA와 Fortify SSC의 차이점은 무엇입니까? 이 소프트웨어에 의해 생성 된 보고서간에 차이점이 있습니까? Fortify SSC는 웹 기반 앱이라는 것을 알고 있습니다. Fortify SCA를 웹 기반 앱으로 사용할 수 있습니까?Fortify SCA와 Fortify SSC의 차이
A
답변
15
SCA는 소스 코드 분석기 (요새화 360에서)로 알려져 왔지만 이제는 정적 코드 분석기입니다. 같은 약어, 같은 코드, 그냥 이름이 바뀌 었습니다.
SSC ("소프트웨어 보안 센터")는 Fortify 360 Server로 알려져있었습니다. HP는 이름을 변경하고 추가 변경했습니다.
SCA는 명령 행 프로그램입니다. 일반적으로 SCA를 사용하여 정적 코드 분석 관점에서 코드를 스캔하고 (Sourceanalyzer 또는 sourceanalyzer.jar를 통해) FPR 파일을 생성 한 다음 Audit Workbench로 열거 나 SSC에 업로드하여 추세 등을 추적 할 수 있습니다.
감사 워크 벤치는 SCA와 함께 설치됩니다. 검사 결과를 검토하고, 감사 데이터를 추가하고, 필터를 적용하고, 간단한 보고서를 실행할 수있는 그래픽 응용 프로그램입니다.
SSC는 웹 기반입니다. 그것은 Tomcat 또는 좋아하는 응용 프로그램 서버에 설치할 수있는 Java 전쟁입니다. SSC에 대한 보고서는 다른 기술을 사용하며 중앙 집중식 메트릭을 실행하는 데 더 적합합니다. 특정 검사의 결과 또는 내역 (현재 검사와 이전 검사간에 변경된 내용)을보고 할 수 있습니다. sca 스캔의 차이, 추세, 내역 등을 원할 경우 일정 기간 동안 FPR을 업로드 한 후 SSC를 사용하여보고하십시오.
SSC가 없으면 기본보고 기능을 통해 FPR 파일 (바이너리)을 xml, pdf 또는 rtf로 변환 할 수 있지만 기록이 아닌 해당 특정 스캔의 결과 만 제공합니다 현재 스캔 및 이전 스캔).
끄기 주제 : 동적 분석 제품인 HP WebInspect도 있습니다. 이 제품은 또한보고를 위해 SSC로 마찬가지로 가져올 수있는 FPR 파일을 내보낼 수 있습니다. 정기적으로 동적 검사를 예약하려면 WebInspect Enterprise가이를 수행 할 수 있습니다.
WebInspect는 SSC와 완벽하게 잘 맞는 동적 코드 분석 도구입니다. 불행한 점은 빌드마다 이것을 자동화하는 훌륭한 CI 통합 플러그인이 없다는 것입니다. 지금까지 내가 본 대부분의 일반적인 해결책은 집에서 개발되었습니다. – Keshi
실제로 WebInspect (WebInspect Enterprise를 사용하여 SSC에 통합 - SSC에 연결하는 콘솔, 효과적으로 AMP의 새 버전 만들기)와 Java 또는 .NET 응용 프로그램에서 실행되는 Runtime 제품군 (이전의 RTA)과 런타임시 다양한 작업 (로깅/중지 공격/etc)을 수행 할 수 있습니다. – lavamunky
@Keshi Jenkins 용 플러그인을 제공하고 JIRA와도 통합 할 수 있습니다. –