Разница между Fortify SCA и Fortify SSC

SCA раньше назывался анализатором исходного кода (в fortify 360), но теперь является статическим анализатором кода. Та же аббревиатура, тот же код, только название изменилось.

SSC ("Центр безопасности программного обеспечения") раньше назывался Fortify 360 Server. HP переименовала его и внесла дополнительные изменения.

SCA - это программа командной строки. Обычно вы используете SCA для сканирования кода (через sourceanalyzer или sourceanalyzer.jar) с точки зрения статического анализа кода, создания FPR-файла, затем открытия его с помощью Audit Workbench или загрузки его в SSC, где вы можете отслеживать тренды и т. Д.

Audit Workbench устанавливается вместе со SCA; Это графическое приложение, которое позволяет просматривать результаты сканирования, добавлять данные аудита, применять фильтры и запускать простые отчеты.

SSC, с другой стороны, является сетевым; это java war, которую можно установить на tomcat или на ваш любимый сервер приложений. Отчеты по SSC используют другую технологию и лучше подходят для запуска централизованных метрик. Вы можете сообщить о результатах определенного сканирования или истории (что изменилось между текущим сканированием и любым более ранним). Если вам нужны различия, тренды, история и т. Д. Сканирований sca, используйте SSC для отчетов после загрузки FPR за определенный период времени.

Без SSC базовая функция создания отчетов позволяет вам преобразовывать файлы FPR (которые являются двоичными) в xml, pdf или rtf, но это дает вам только результаты этого конкретного сканирования, а не историю (что изменилось между текущим сканированием и любые более ранние).

Не по теме: есть также продукт для динамического анализа, HP WebInspect. Этот продукт также способен экспортировать файлы FPR, которые также могут быть импортированы в SSC для отчетов. Если вы хотите регулярно планировать динамическое сканирование, WebInspect Enterprise может сделать это.