蘇州華克斯公司-源代碼檢測(cè)工具fortify服務(wù)商

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

我想知道比較WebInspect與Fortify SCA？

選項(xiàng)

04-01-2012 09:56 PM

我將決定僅選擇WebInspect和Fortify SCA或Fortify SCA。

與Fortify SCA的WebInspect有什么不同？ （例如特征比較）

WebInspect和Fortify SCA都有用于測(cè)試如何相同或不同的模塊或功能？

可以Fortify僅使用源代碼掃描還是使用URL掃描？

Re：我想知道比較WebInspect與Fortify SCA？

選項(xiàng)

04-05-2012 01:47 PM

在這里，您可以在WebInspect論壇中找到更好的運(yùn)氣：

華克斯

WebInspect是攻擊Web應(yīng)用程序的DAST工具。 SCA是用于定位安全漏洞的SAST工具，是源代碼。與任何DAST和SAST比較一樣，它們都覆蓋著重疊和差距，而不是像維恩圖。兩者可以在惠普的企業(yè)控制臺(tái)后分析中匯集在一起，進(jìn)行相關(guān)和審查。

WebInspect可以：

- Windows應(yīng)用程序

- 只測(cè)試實(shí)時(shí)網(wǎng)址和網(wǎng)絡(luò)服務(wù)

- 黑盒測(cè)試儀，處

SCA：

- 運(yùn)行在各種操作系統(tǒng)（Windows，* NIX，Mac）

- 可以在IDE中，從CLI或構(gòu)建服務(wù)器運(yùn)行

- 只測(cè)試源代碼

- 白盒測(cè)試儀，處

fortifySCA審計(jì)功能要求

·        

對(duì)安全漏洞掃描結(jié)果進(jìn)行匯總，源代碼檢測(cè)工具fortify服務(wù)商，并按照問題的嚴(yán)重性和可能性進(jìn)行級(jí)別的合理劃分。如Critical，High，Medium，Low四個(gè)級(jí)別。

·        

用戶能夠根據(jù)企業(yè)自身需要來調(diào)整和修改問題的默認(rèn)分級(jí)策略，方便審計(jì)。

·        

迅速、準(zhǔn)確定位某一特定安全漏洞所在的源代碼行，對(duì)問題產(chǎn)生的整個(gè)過程進(jìn)行跟蹤，并能以圖形化的形式展現(xiàn)。

·        

提供每個(gè)安全漏洞的中文詳細(xì)描述和較明確和詳盡的推薦修復(fù)建議。

·        

提供與之前掃描結(jié)果的比較，fortify服務(wù)商，指出本次掃描出來的新問題，并且能夠與以前的審計(jì)結(jié)果進(jìn)行合并，源代碼審計(jì)工具fortify服務(wù)商，減少重復(fù)審計(jì)工作。

·        

支持按文件名、API、漏洞類型、嚴(yán)重等級(jí)等進(jìn)行分類、過濾、查詢、統(tǒng)計(jì)。支持對(duì)漏洞信息的全文檢索功能，可以從其中快速檢索到指ding類別或者名稱的漏洞信息。

Fortify SCA產(chǎn)品組件及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

 數(shù)據(jù)流分析引擎-----跟蹤，記錄并分析程序中的數(shù)據(jù)傳遞過程的安全問題

 語義分析引擎-----分析程序中不安全的函數(shù)，方法的使用的安全問題

 結(jié)構(gòu)分析引擎-----分析程序上下文環(huán)境，結(jié)構(gòu)中的安全問題

 控制流分析引擎-----分析程序特定時(shí)間，狀態(tài)下執(zhí)行操作指令的安全問題

 配置分析引擎

-----分析項(xiàng)目配置文件中的敏感信息和配置缺失的安全問題

 特有的X-Tier?跟蹤qi-----跨躍項(xiàng)目的上下層次，貫穿程序來綜合分析問題

Secure

Coding

Rulepacks

?（安全編碼規(guī)則包）

Audit

Workbench（審查工作臺(tái)）

Custom

Rule

Editor

&

Custom

RuleWizard(規(guī)則自定義編輯器和向?qū)?

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的標(biāo)準(zhǔn)

OWASP top 2004/2007/2010/2013/2014(開放式Web應(yīng)用程序安全項(xiàng)目)

2. PCI1.1/1.2/2.0/3.0(國(guó)際信用ka資料安全

技術(shù)PCI標(biāo)準(zhǔn))

3. WASC24+2(Web應(yīng)用安全聯(lián)合威脅分類)

4. NIST SP800-53Rev.4(美國(guó)與技術(shù)研究院)

5. FISMA(聯(lián)邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全漏洞詞典)