如何从软件安全中心探索强化审计工作台?我可以在审计工作台中获得SSC的审计功能吗?
答案 0 :(得分:0)
静态代码分析器(SCA)是在开发人员工作站上运行或在开发或测试构建服务器上运行的命令行程序。您通常使用SCA扫描代码(通过sourceanalyzer或sourceanalyzer.jar)并生成Fortify Project Reports(FPR)文件。然后,您可以使用Audit Workbench打开该FPR文件,或将其上传到SSC,您可以在其中跟踪趋势,风险状况等。
使用SCA在桌面上安装Audit Workbench(AWB);它是一个图形应用程序,允许您查看扫描结果,添加审核数据,应用筛选器和运行简单报告。 AWB仅为您提供特定扫描的结果。相反,SSC使用SSC提供应用程序和其他应用程序的历史记录(给定适当的访问权限)。
SSC是一个基于Web的FPR文件存储库和工具,用于管理我们的投资组合的应用程序安全性。这是一个安装在tomcat或你最喜欢的应用服务器上的java war。有关SSC的报告更适合运行集中度量标准。您可以报告特定扫描的结果或历史记录(当前扫描与之前扫描之间的更改)。如果您想要SCA扫描的差异,趋势,历史等,请使用SSC报告Fortify问题并随着时间的推移进行修复。趋势报告和投资组合报告仅在SSC上提供。
相同的sourceanalyzer.exe(SCA可执行文件)由Audit Workbench和各种SCA插件(maven,Jenkins,eclipse,Visual Studio,IntelliJ,XCode等)调用。 SSC不运行SCA。 SSC管理从SCA输出的FPR文件,并管理您对SCA发现的问题的审核。 SSC不运行SCA。 SSC管理从SCA输出的FPR文件。