FortifySCA與強化SSC之間的差異

Fortify SCA和Fortify SSC有什么區(qū)別？這些軟件產(chǎn)生的報告是否有差異。我知道Fortify SSC是一個基于網(wǎng)絡的應用程序。我可以使用Fortify SCA作為基于Web的應用程序嗎？

Fortify SCA以前被稱為源代碼分析器（在fortify 360中），但現(xiàn)在是靜態(tài)代碼分析器。相同的首字母縮略詞，相同的代碼，只是名字改變了。

SSC（“軟件安全中心”）以前稱為Fortify 360 Server?；萜罩匦旅⑦M行了其他更改。

SCA是一個命令行程序。您通常使用SCA從靜態(tài)代碼分析角度掃描代碼（通過sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打開該文件，或將其上傳到SSC，您可以在其中跟蹤趨勢。

審計工作臺與SCA一起安裝;它是一個圖形應用程序，源代碼掃描工具fortify哪里有賣，允許您查看掃描結果，添加審核數(shù)據(jù)，應用過濾器和運行簡單報告。

另一方面，源代碼審計工具fortify哪里有賣，SSC是基于網(wǎng)絡的;這是一個可以安裝到tomcat或您喜歡的應用程序服務器的java。關于SSC的報告使用不同的技術，更適he運行集中度量。您可以報告特定掃描的結果，或歷史記錄（當前掃描與之前的掃描之間發(fā)生變化）。如果您想要掃描掃描的差異，趨勢，歷史等，請在上傳FPR一段時間后使用SSC進行報告。

沒有SSC，基本報告功能允許您將FPR文件（二進制）轉換為xml，pdf或rtf，但只能給出特定掃描的結果，而不是歷史記錄（當前掃描和任何早期的）。

關閉主題：還有一個動態(tài)分析產(chǎn)品HP WebInspect。該產(chǎn)品還能夠導出FPR文件，可以同樣導入到SSC中進行報告。如果您希望定期安排動態(tài)掃描，WebInspect Enterprise可以做到這一點。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

允許所有的行動

應用程序不檢查服務器發(fā)送的數(shù)字證書是否發(fā)送到客戶端正在連接的URL。

Java安全套接字擴展（JSSE）提供兩組API來建立安全通信，一個HttpsURLConnection API和一個低級SSLSocket API。

HttpsURLConnection API默認執(zhí)行主機名驗證，再次可以通過覆蓋相應的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時，大約有12，800個結果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不開箱即可執(zhí)行主機名驗證。以下代碼是Java 8片段，僅當端點標識算法與空字符串或NULL值不同時才執(zhí)行主機名驗證。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（發(fā)動機））;

 }

 ...

}

當SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時，識別算法設置為NULL，因此主機名驗證被默認跳過。因此，如果攻擊者在客戶端連接到“”時在網(wǎng)絡上具有MITM位置，則應用程序還將接受為“some-evil-”頒發(fā)的有效的服務器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當使用原始SSLSocket和SSLEngine類時，您應該始終在發(fā)送任何數(shù)據(jù)之前檢查對等體的憑據(jù)。 SSLSocket和SSLEngine類不會自動驗證URL中的主機名與對等體憑

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核工作臺和安全編碼插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全編碼包。

國際平臺與架構

HP Fortify SCA在以下平臺上安裝時支持雙字節(jié)和國際字符集：

操作系統(tǒng)版本架構

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業(yè)務

Vista Ultimate x86：32位

Oracle Solaris 10 x86

對于非英語平臺，不支持以下內容：

操作系統(tǒng)：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架構

應用服務器：Jrun，jBoss，BEA Weblogic 10

數(shù)據(jù)庫：DB2

注意：本版本中不包含本地化文檔。

語言

HP Fortify SCA支持以下編程語言：

語言版本

，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++請參見“編譯器”

經(jīng)典ASP（帶VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，DB2，源代碼檢測工具fortify哪里有賣，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

Acti***cript / MXML 3和4

XML 1.0

ABAP / 4

構建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或更高版本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統(tǒng)

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發(fā)環(huán)境

適用于Eclipse的HP Fortify軟件安全中心插件和用于Visual Studio的HP Fortify Software Security Center軟件包在以下平臺上受支持：

操作系統(tǒng)IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，fortify哪里有賣，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，3.3，3.4，3.5，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上運行的Eclipse 3.4+。但是，HP Fortify軟件安全中心確實支持在64位平臺上在32位JRE上運行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服務集成：

服務應用版本支持的工具

Bug創(chuàng)建Bugzilla 3.0審核工作臺，

Visual Studio SCP，

Eclipse SCP

惠普質量中心9.2，10.0審核工作臺，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平臺上安裝用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安裝HPQC客戶端加載項軟件。

注意：Team Foundation Server集成需要您安裝Visual Studio Team Explorer軟件。