一、对比分析我们使用WebGoat做为测试用例，来分析一下两个产品的差异。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默认规则，源代码检测工具fortify规则，不做规则调优。

3、扫描后直接导出报告，不做审计。

二、扫描问题总览

Fortify SCA扫描结果报告：

从上边可以看出：Fortify扫描出Critical和High级别的漏洞共计757条。

SonarQube扫描出阻断和严重级别的漏洞为28条，关于软件质量问题有2K+条。

三、Fortify扫描内容分析

Fortify扫描出来的内容，基本上都是和安全相关的信息。例如：?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection

应用生命周期管理平台{ApplicationLifecycleManagement}

应用生命周期管理平台Application Lifecycle Management

ALM(Application Lifecycle Management)实现软件开发从需求分析开始，源代码审计工具fortify规则，历经项目规划、项目实施、配置管理、测试管理等阶段，华北fortify规则，直至被交付或发布的全过程管理。

ALM实现软件生命周期全流程的标准化管理、轻松实现如下功能管理：

1、项目管理（项目计划和跟踪、发布管理、报表）

2、需求管理（业务需求和测试需求、业务模型管理）

3、开发管理（集成配置管理、自动化构建管理）

4、测试计划（测试案例管理）

5、测试运行（测试任务调度、执行和审计）

6、缺陷管理（系统缺陷的集中管理和流转）

7、项目自定义（后台的客户定制化平台，包括客户化字段和工作流的自定义）

ALM提供强大的可扩展性和定制化管理，源代码扫描工具fortify规则，全开放的API接口和数据表架构，轻松实现与应用安全自动化测试平台（Fortify、Webinspect）、性能自动化测试中心（Loadrun-ner企业版）、功能自动化测试工具（UFT）进行无缝的集成，为用户实现完整的应用程序测试生命周期标准化流程。

· Regex Rule for FileNameRegex and ContentRegex

· Structural Rule for Cloud Configuration in Nested Objects

· Structural Rule for Cloud Configuration in Single Object

· Structural Rule for Terraform Configuration in Nested Blocks

· Structural Rule for Terraform Configuration in Single Block

· Terraform Bad Practices: Untrusted Module in Use

语言支持更新:

· Apex

· Go

· HCL

· JavaScript/TypeScript

· JSON

· Kotlin

· PHP

· Python

· YAML

其他配置文件类型支持:

· configuration

· docker

· xml

苏州华克斯-华北fortify规则由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业，公司秉承“诚信经营，用心服务”的理念，为您提供更好的产品和服务。欢迎来电咨询！联系人：华克斯。