西南源代码审计工具FORTIFY规则服务「华克斯」

fortify sca 的工作原理：

foritfy sca 首先通过调用语言的编译器或者解释器把前端的语言 代码如 java，c/c++源代码转换成一种中间媒体文件 nstnormal syntax tree将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 nst， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。---形成 包含详细漏洞信息的 fpr 结果文件，用 awb 打开查看。终---用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或授权程序等。

fortify软件

强化静态代码分析器

使软件更快地生产

hpe security fortify sca和ssc是为devops sdlc提供动力的新功能

关于本网络研讨会

随着威胁的发展，应用程序的安全性也将如此。 hpe security fortify继续创建并---新功能，进一步自动化和简化应用安全测试程序。 了解与devops要求相一致的新的静态扫描进展。 了解扫描分析如何进一步增强和改进---审核流程，以提高安全扫描结果的相关性。·对企业中多个项目的多次测试结果进行统一管理，能够按项目或项目开发语言等多种方式查看测试结果的发展趋势，帮助管理人员定制安全策略。

记录2016年10月26日27分钟

由

fortify的---产品经理michael right，fortify的产品经理emil kiner

hp fortify静态代码分析器

我想知道比较webinspect与fortify sca？

选项

04-01-2012 09:56 pm

我将决定仅选择webinspect和fortify sca或fortify sca。

与fortify sca的webinspect有什么不同？ 例如特征比较

webinspect和fortify sca都有用于测试如何相同或不同的模块或功能？

可以fortify仅使用源代码扫描还是使用url扫描？

re：我想知道比较webinspect与fortify sca？

04-05-2012 01:47 pm

在这里，您可以在webinspect论坛中找到---的运气：

华克斯

webinspect是攻击web应用程序的dast工具。 sca是用于定位安全漏洞的sast工具，是源代码。与任何dast和sast比较一样，它们都覆盖着重叠和差距，而不是像维恩图。两者可以在惠普的企业控制台后分析中汇集在一起，进行相关和---。fortifysca获得多项国际大奖，目前市场占有率---第yi。

webinspect可以：

- windows应用程序

- 只测试实时网址和网络服务

- 黑盒测试仪，---处

sca：

- 运行在各种操作系统windows，* nix，mac

- 可以在ide中，从cli或构建服务器运行

- 只测试源代码

- 白盒测试仪，---处