Fortify SCA与Fortify SSC的区别

Question

Fortify SCA和Fortify SSC有什么不同。这些软件生成的报告有什么不同吗？我知道Fortify SSC是一个基于web的应用程序。我也可以将Fortify SCA用作基于web的应用程序吗？

Answer 1

SCA过去被称为源代码分析器(在fortify 360中)，但现在是静态代码分析器。同样的缩写，同样的代码，只是名字变了。

SSC (“软件安全中心”)过去被称为Fortify 360服务器。惠普对其进行了重命名并做了额外的更改。

SCA是一个命令行程序。您通常使用SCA从静态代码分析的角度扫描代码(通过源分析器或sourceanalyzer.jar)，生成FPR文件，然后使用Audit Workbench打开该文件或将其上传到SSC，在那里您可以跟踪趋势等。

Audit Workbench与SCA一起安装；它是一个图形应用程序，允许您查看扫描结果、添加审计数据、应用筛选器和运行简单的报告。

另一方面，SSC是基于web的；它是一个java war，可以安装到tomcat或您最喜欢的应用服务器上。SSC上的报告使用不同的技术，更适合运行集中式指标。您可以报告特定扫描的结果，或历史记录(当前扫描与之前的扫描之间发生了哪些变化)。如果您想要sca扫描的差异、趋势、历史等，请在一段时间内上传FPR后使用SSC进行报告。

在不使用SSC的情况下，基本报告功能允许您将FPR文件(二进制)转换为xml、pdf或rtf，但这只会给出特定扫描的结果，而不会给出历史记录(在当前扫描和之前的扫描之间发生了哪些变化)。

离题:还有一个动态分析产品，HP WebInspect。此产品还可以导出FPR文件，这些文件同样可以导入到SSC中进行报告。如果您希望定期安排动态扫描，WebInspect企业版可以做到。