一、对比分析我们使用WebGoat做为测试用例，来分析一下两个产品的差异。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默认规则，不做规则调优。

3、扫描后直接导出报告，源代码检测工具fortify服务商，不做审计。

二、扫描问题总览

Fortify SCA扫描结果报告：

从上边可以看出：Fortify扫描出Critical和High级别的漏洞共计757条。

SonarQube扫描出阻断和严重级别的漏洞为28条，关于软件质量问题有2K+条。

三、Fortify扫描内容分析

Fortify扫描出来的内容，源代码审计工具fortify服务商，基本上都是和安全相关的信息。例如：?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection

华克斯科技测试及应用安全产品安全培训内容

华克斯科技始终秉承着“以客户为中心”的经营理念，在不断丰富产品线和提高服务能力的同时，源代码扫描工具fortify服务商，也一直积极地进行区域拓展，目前已在北京、深圳设有办事处，以便为客户提供更好的本地服务。

安全培训服务

产品培训

针对major特定的产品进行使用培训和进阶培训，如下：

应用安全：Fortify、SonarQube、Checkmarx、Coverity、Webinspect、Appscan。

性能测试：Loadrunner。

功能测试：UFT（QTP）。

应用生命周期管理：ALM（QC）。

（2）、定制化培训

针对客户的不同行业、不同需求、不同项目情况进行定制化的高阶培训，华东fortify服务商，如漏洞定制化规则（Fortify、SonarQube）、国际应用安全标准（CWE、OWASP）培训、公司整体应用代码质量的提升方案、公司整体应用安全方案的建设和推广等。

{源代码审计}应用安全expert团队帮助客户发现源代码中可能导致数据损坏、不可预测的行为、应用程序故障和其他问题等，Maximum extent的解决源代码中的质量缺陷、潜在安全漏洞、测试问题、及Java运行时缺陷等，并出具源代码审计报告。

编程语言支持：Java、C/C++、OC、JavaScript、PHP、Python、.Net等20+种类型。

审计类型支持：安全漏洞（注入、跨站脚本、安全配置错误、敏感信息泄露、未验证的重定向和转发等）、质量缺陷（死代码、空方法、未释放的资源、过实的方法等）、编程风格（命名规则、变量常量与类型、表达式与语句、参数、注释、文件布局等）等100+类型。

白盒测试工具支持：Fortify、SonarQube、Coverity等。

源代码扫描工具fortify服务商-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来，我们坚持以“诚信为本，稳健经营”的方针，勇于参与市场的良性竞争，使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上，用户至上”的原则，使华克斯在行业软件中赢得了客户的信任，树立了良好的企业形象。 特别说明：本信息的图片和资料仅供参考，欢迎联系我们索取准确的资料，谢谢！