IDE中的安全代码评审相对于fatapp和webapp的好处

Question

对于那些曾经使用过商业安全代码检查工具的人，例如：

• 克洛茨克
• 覆盖度
• 装甲化
• 设防
• 查克马克斯
• 应用程序源代码版(前称盎司)

或者可能是免费的或开源的等价物，例如：

• CAT.NET
• FindBugs
• Klocwork Solo
• 装甲演示
• Fotify Teamserver演示(或书中附带的审计工作台)
• OWASP O2 (盎司公开)

您是否通常更喜欢in插件/加载项(例如，用于Eclipse的Fortify安全编码插件)、独立的fat应用程序(例如审计工作台)、web应用程序(例如Armorize、Fortify Teamserver)、完整的构建服务器解决方案等？为什么？

Answer 1

答案不多，但我想说，这更多地取决于每个产品的特性集，以及每个接口的实用性。

例如，Fortify的IDE插件、fatapp和webapp在受支持的特性上并不等同。更有甚者，Fortify的Eclipse插件并不等同于他们自己的VisualStudio插件！

但原则上，假设其他一切都是平等的，我倾向于：

• 作为一名审计员/安全顾问，我更喜欢独立的。不需要开始扰乱他们的环境，帮助我更专注，等等。
• 作为一名开发人员(以及我的客户/开发人员)，我更喜欢IDE插件，以便将一切都摆在他们面前，您不需要打开另一个工具，他们不会忘记它，让它成为他们开发/编译的一部分，等等。
• 一个用于统计的网络应用程序( Fortify试图用360服务器做什么，但不太好)对于管理和诸如此类的东西都是很棒的。

请注意，上面的内容主要依赖于自动代码扫描器，而不是手动代码检查。有时这正是我们所需要的，但通常情况下还不够好。

Answer 2

这两种方法都是必要的，这取决于开发生命周期方法:例如，在Scrum项目中，通常基于IDE的项目更有意义，因为您可以添加一个待办事项，要求每次冲刺扫描一次代码，甚至每天一次，这将非常有用。

另一方面，如果您正在瀑布或螺旋开发，那么选择独立版本的工具将是更明智的选择，以集成许多软件包。

正如AviD所提到的，对于开发人员以外的其他人来说，独立版本会更好

Answer 3

在独立使用Fortify、使用Maven插件和对进行简单接触之后，我有一组与AviD相似的首选项：

• 独立的是可爱的，当你可以提供完整的代码基，它运行迅速，只要你有所有的吊坠，它只是工作！
• 为了实现一个反复出现的测试场景，插件是解决这些问题的方法--让插件内置，以便对安全问题进行自动编译和构建。
• 管理确实需要报告和趋势，因此需要一个管理服务器。

AviD说的差不多是：-)