FortifySCA與強化SSC之間的差異

Fortify SCA和Fortify SSC有什么區別(bie)？這些軟件產生的報告是否有差異。我知道Fortify SSC是一個(ge)基(ji)于網(wang)絡的應用程序。我可(ke)以使(shi)用Fortify SCA作為基(ji)于Web的應用程序嗎？

Fortify SCA以前(qian)被稱為源代(dai)碼分析(xi)器(qi)（在fortify 360中），但(dan)現在是靜態代(dai)碼分析(xi)器(qi)。相同的首字母縮略詞(ci)，相同的代(dai)碼，只是名字改(gai)變了。

SSC（“軟件安全(quan)中心”）以前稱(cheng)為(wei)Fortify 360 Server。惠普(pu)重新(xin)命名并進行了其(qi)他更改。

SCA是一個命令行程(cheng)序。您(nin)(nin)通常使用SCA從靜態代碼(ma)分析角度掃(sao)描代碼(ma)（通過sourceanalyzer或），生(sheng)成FPR文(wen)(wen)件(jian)(jian)，然后使用Audit Workbench打開(kai)該(gai)文(wen)(wen)件(jian)(jian)，或將其上傳到(dao)SSC，您(nin)(nin)可(ke)以在其中(zhong)跟蹤(zong)趨勢。

審(shen)計(ji)工(gong)作臺與(yu)SCA一(yi)起安裝(zhuang);它是一(yi)個圖形應用(yong)程(cheng)序，源(yuan)代碼(ma)掃(sao)描工(gong)具fortify哪里(li)有賣，允許您查看掃(sao)描結果，添(tian)加審(shen)核數據，應用(yong)過濾器和運(yun)行(xing)簡單報告。

另(ling)一方(fang)面，源代碼審計(ji)工(gong)具(ju)fortify哪里有賣，SSC是基于網絡的(de);這(zhe)是一個可(ke)以安裝到tomcat或您(nin)(nin)喜歡的(de)應用程(cheng)序服務(wu)器的(de)java。關于SSC的(de)報告使(shi)用不同的(de)技術，更(geng)適he運行(xing)集中度量(liang)。您(nin)(nin)可(ke)以報告特定掃(sao)(sao)描(miao)(miao)(miao)的(de)結果，或歷史(shi)記錄（當前(qian)掃(sao)(sao)描(miao)(miao)(miao)與之(zhi)前(qian)的(de)掃(sao)(sao)描(miao)(miao)(miao)之(zhi)間發生變化）。如(ru)果您(nin)(nin)想要(yao)掃(sao)(sao)描(miao)(miao)(miao)掃(sao)(sao)描(miao)(miao)(miao)的(de)差異，趨勢，歷史(shi)等(deng)，請在上傳(chuan)FPR一段時間后使(shi)用SSC進(jin)行(xing)報告。

沒有SSC，基本(ben)報告功能(neng)(neng)允許您將FPR文件(jian)（二進(jin)制）轉換為xml，pdf或rtf，但(dan)只能(neng)(neng)給出特定掃(sao)描的(de)結果，而不是歷(li)史記錄(lu)（當前掃(sao)描和任何早期的(de)）。

關閉主(zhu)題：還有(you)一個動(dong)態(tai)分(fen)析產品HP WebInspect。該產品還能夠(gou)導(dao)出FPR文件，可(ke)以同樣導(dao)入(ru)到SSC中進行(xing)報告(gao)。如果(guo)您希望定期安排動(dong)態(tai)掃描，WebInspect Enterprise可(ke)以做到這一點。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換(huan)為(wei)HP FORTIFY SCA FPR | MAIN | CA特(te)權(quan)身份管理員(yuan)安全(quan)研究白皮(pi)書?

強(qiang)化針對(dui)JSSE API的SCA自定義規則濫(lan)用

允許所有的行動

應用程序不檢(jian)查服務器(qi)發送的(de)數字證書是否發送到客戶端(duan)正在(zai)連(lian)接的(de)URL。

Java安全套接字擴展（JSSE）提供兩(liang)組API來建立安全通信，一個HttpsURLConnection API和一個低(di)級SSLSocket API。

HttpsURLConnection API默認執行主機名驗證(zheng)，再次可以(yi)通(tong)過覆蓋相應的(de)HostnameVerifier類中的(de)verify（）方法來禁用（在(zai)GitHub上搜索以(yi)下代碼(ma)時，大約有12，800個結(jie)果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不(bu)(bu)開箱即可執(zhi)行主(zhu)機名(ming)驗(yan)證(zheng)。以下代碼是Java 8片段(duan)，僅當(dang)端點標識算法與(yu)空字符串(chuan)或NULL值(zhi)不(bu)(bu)同時才執(zhi)行主(zhu)機名(ming)驗(yan)證(zheng)。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（發(fa)動機））;

 }

 ...

}

當SSL / TLS客戶端(duan)使用原始的(de)(de)SSLSocketFactory而(er)不是HttpsURLConnection包(bao)裝器時(shi)，識別算法(fa)設置為NULL，因此主機名驗證(zheng)被(bei)默認(ren)跳過。因此，如(ru)果(guo)攻擊者在客戶端(duan)連接(jie)到(dao)“”時(shi)在網絡(luo)上具有(you)MITM位(wei)置，則應用程序還將(jiang)接(jie)受為“some-evil-”頒(ban)發的(de)(de)有(you)效(xiao)的(de)(de)服(fu)務器證(zheng)書。

這(zhe)種記(ji)錄(lu)的行為被(bei)掩(yan)埋在JSSE參考(kao)指南(nan)中：

“當使用原始SSLSocket和SSLEngine類時，您(nin)應該始終(zhong)在發送任何(he)數據(ju)之前檢查對等體的憑(ping)據(ju)。 SSLSocket和SSLEngine類不會(hui)自動驗證URL中的主機名與對等體憑(ping)

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜(jing)態代(dai)碼(ma)分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核(he)工作臺和安全編碼插件。

注(zhu)意：Windows Vista或更高版本(ben)不支持(chi)Microsoft Visual Studio 2003的(de)安全編碼包。

國際平臺與架構

HP Fortify SCA在以下平(ping)臺上安裝時支持雙字節和國際字符集：

操作系統版本架構

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業務

Vista Ultimate x86：32位(wei)

Oracle Solaris 10 x86

對于(yu)非英語平臺，不(bu)支持(chi)以下(xia)內容：

操作系統(tong)：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和(he)所(suo)有64位(wei)架構(gou)

應(ying)用服務器：Jrun，jBoss，BEA Weblogic 10

數據庫：DB2

注意：本(ben)版本(ben)中不包(bao)含本(ben)地化(hua)文(wen)檔。

語言

HP Fortify SCA支持以下(xia)編程(cheng)語言：

語言版本

，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++請參(can)見“編譯(yi)器”

經典ASP（帶VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，DB2，源(yuan)代(dai)碼檢測(ce)工具(ju)fortify哪里有賣，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

Acti***cript / MXML 3和(he)4

XML 1.0

ABAP / 4

構建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或(huo)更高版(ban)本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英(ying)特(te)爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發環境

適用(yong)(yong)于Eclipse的(de)HP Fortify軟(ruan)件安全中心插件和用(yong)(yong)于Visual Studio的(de)HP Fortify Software Security Center軟(ruan)件包在以下(xia)平臺上受支持：

操作系統IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，fortify哪里有賣，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，3.3，3.4，3.5，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不(bu)支持(chi)在(zai)(zai)64位JRE上運行的Eclipse 3.4+。但是，HP Fortify軟件安全中心(xin)確實支持(chi)在(zai)(zai)64位平臺上在(zai)(zai)32位JRE上運行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支(zhi)持以下(xia)服(fu)務集成：

服(fu)務應用(yong)版(ban)本(ben)支持(chi)的工具(ju)

Bug創建Bugzilla 3.0審核工作(zuo)臺，

Visual Studio SCP，

Eclipse SCP

惠普質量中(zhong)心9.2，10.0審核工作(zuo)臺(tai)，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您(nin)在Windows平臺上安裝(zhuang)用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意(yi)：HP Quality Center集成需要您(nin)安裝HPQC客(ke)戶端加載項軟件(jian)。

注(zhu)意：Team Foundation Server集成需(xu)要您安裝Visual Studio Team Explorer軟件。