一、对比分析我们使用WebGoat做为测试用例,fortify扫描,来分析一下两个产品的差异。
1、使用工具:
?Fortify SCA ?SonarQube
2、使用默认规则,不做规则调优。
3、扫描后直接导出报告,不做审计。
二、扫描问题总览
Fortify SCA扫描结果报告:
从上边可以看出:Fortify扫描出Critical和High级别的漏洞共计757条。
SonarQube扫描出阻断和严重级别的漏洞为28条,关于软件质量问题有2K+条。
Fortify扫描出来的内容,基本上都是和安全相关的信息。例如:?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection
LoadRunnerProfessional/FortifySCA/WebInspect/SonarQube技术服务方案}
Application Lifecycle Management/Unified Functional Testing/LoadRunner Professional/Fortify SCA/WebInspect/SonarQube/AppScan等技术服务方案从四个方面加强企业安全.
提高应用系统安全
通过检测源代码并修复安全隐患,能够很大程度上减低系统安全风险,提高软件的自身安全性,从层面上来加强了整个安全体系的防护。
降低漏洞修复成本
越早发现问题进行修复,成本越低,可以在软件编码过程中帮助开发人员找出软件中的安全漏洞缺陷,源代码检测工具fortify扫描,并提供修复办法,降低漏洞修复成本。
建立安全开发体系
代码检测通过对开发流程的整合,实现代码检测融入开发流程,实现统一的代码安全管理目标,实现企业安全开发管理体系落地。
避免企业经济损失
企业依据代码审计报告对软件产品安全性进行评估,避免不安全的软件产品投入使用而带来巨大的经济损失
Fortify WebInspect更新
以下是Fortify WebInspect新增的功能。
GraphQL原生支持
WebInspect 现在支持本地扫描 GraphQL。获得quan面的GraphQL 扫描不再需要收集或工作流。
gRPC 扫描
WebInspect 已增加了对 gRPC 扫描的支持。现在可以对这个流行的服务器到服务器的框架进行安全漏洞扫描。
引擎7.1更新
Fortify继续增强其引擎,以提高扫描范围和性能。WebInspect 22.2.0 提供了更快的抓取和审计,源代码扫描工具fortify扫描,并通过 Macro Engine 7.1 的 Web Macro Recorder 提供更好的应用程序支持。
Linux版本
WebInspect 现在可用于轻量级 Linux 容器。当WebInspect通过其API使用时,这个容器化版本的WebInspect是自动化场景的一个很好的选择。
更新的 SOAP 扫描
WebInspect 将通过 Web Service Designer 工具废除其旧的 SOAP 扫描选项。在准备过程中,可通过 API 扫描选项来扫描 SOAP 应用程序的新机制。
fortify扫描-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念,拥有一支高素质的员工队伍,力求提供更好的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。华克斯——您可信赖的朋友,公司地址:苏州工业园区新平街388号,联系人:华克斯。
