FortifySCA服务的方式:
客户现场服务
服务工程师将产品安装客户服务器上,并派技术人员在客户的应用程序中执行代码安全风险评估
服务名称
服务期限
服务描述
服务费用
备注
现场源代码安全扫描服务
10天
fortify源代码安全产品可以被使用10天,在一个项目上执行多次扫描
12万
技术人员现场安装产品并辅助器分析代码安全漏洞,撰写风险评估报告
根据项目需要确定
给客户带来的好处
能快速帮助客户定位代码级别的安全漏洞;
能够帮助企业快速评估系统代码安全风险;
快速提供代码安全漏洞修复建议;
指导和培训用户开发安全的软件;
增强系统安全性,抵zhi黑ke恶意攻击,保护信息系统资产。
FortifySCA与强化SSC之间的差异
Fortify SCA和Fortify SSC有什么区别?这些软件产生的报告是否有差异。我知道Fortify SSC是一个基于网络的应用程序。我可以使用Fortify SCA作为基于Web的应用程序吗?
Fortify SCA以前被称为源代码分析器(在fortify 360中),但现在是静态代码分析器。相同的首字母缩略词,相同的代码,只是名字改变了。
SSC(“软件安全中心”)以前称为Fortify 360 Server。惠普重新命名并进行了其他更改。
SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码(通过sourceanalyzer或),生成FPR文件,然后使用Audit Workbench打开该文件,或将其上传到SSC,您可以在其中跟踪趋势。
审计工作台与SCA一起安装;它是一个图形应用程序,允许您查看扫描结果,添加审核数据,应用过滤器和运行简单报告。
另一方面,SSC是基于网络的;这是一个可以安装到tomcat或您***喜欢的应用程序服务器的java***。关于SSC的报告使用不同的技术,更适he运行集中度量。您可以报告特定扫描的结果,或历史记录(当前扫描与之前的扫描之间发生变化)。分享这个***于十二月二十四日十二时十七分感谢你非常有用的信息。如果您想要扫描扫描的差异,趋势,历史等,请在上传FPR一段时间后使用SSC进行报告。
没有SSC,基本报告功能允许您将FPR文件(二进制)转换为xml,pdf或rtf,但只能给出特定扫描的结果,而不是历史记录(当前扫描和任何早期的)。
关闭主题:还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件,可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描,WebInspect Enterprise可以做到这一点。
Fortify软件
强化静态代码分析器
使软件更快地生产
强化SCA 5.0扩展应用程序保护
Fortify软件更新app-dev安全和管理套件。
作者:Michael Desmond 11/01/2017 Fortify Software Inc.计划出货Fortify SCA 5.0,该版本是该公司旗舰应用开发安全套件的更新版本。
Fortify SCA 5.0目前处于beta版,预计将在年底前发货,是由三个模块组成的源代码分析器。 Fortify Tracer扫描代码并防止缺陷在设计生命周期的质量检查部分; Fortify Defender监视部署的应用程序代码,防止实时攻击;而Fortify Manager提供了一个基于Web的仪表板,用于监控活动和调整配置。·用户能够根据企业自身需要来调整和修改问题的默认分级策略,方便审计。
新版本5是通过Team Server Web界面实现的增强协作,使Fortify SCA仪表板轻触实时数据流。 Fortify产品和服务***副总裁Barmak Meftah表示,新的仪表板允许管理员为不同的团队制定不同的角色和政策。
“到目前为止,我们的终端用户已经是一个巨大的打击,”Meftah说。
转移景观
语言支持也得到了扩展,完全支持PHP,JavaScript,COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。Fortify SCA以前一直支持C#,VB.NET,Java和C / C ++,ColdFusion和存储过程语言,如Microsoft TSQL和Oracle PL / SQL。Fortify 静态代码分析器配置分析器现在可以使用基于 RegEx 的规则检测文件名和内容中的漏洞。
“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快,”Meftah解释说。 “这些COM语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
SANS Institute互联网风暴中心***研究员Johannes Ullrich表示,Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”Ullrich说。 “这是一个巨大的时间保护,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码审查。
Fortify SCA旨在与现有工具和IDE集成,包括Microsoft Visual Studio,Eclipse和IBM Rapid Application Developer(RAD)。基于Java的套件运行在各种操作系统上,包括Windows,Linux,Mac OS X和各种各样的Unix。·自动分析软件的配置和代码的关系,发现在软件配置和代码之间,由于配置丢失或者不一致而带来的安全隐患。
许可证的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(Michael Desmond)是1105媒体企业计算组织的编辑兼作家。
版权所有©2024 天助网