fortifysca服务可交付材料

源代码安全风险评估的目标文档描述了这些内容：

l  针对对黑ke感兴趣的资产、代码实现上的错误，这些错误将危及这些资产的安全，以及在使用的技术和编程语言中常见错误；

l  针对每一个已经识别漏洞的报告，包括所发现漏洞的概述、影响和---性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议；

l  终源代码安全风险评估报告详细说明本次风险评估结果、成果和整体印象、---期间发现的问题、进行额外---的建议，以及针对已确定漏洞进行补救的建议。

fortify sca 支持的开发语言

xml

12.  c/c++

13.  php

14.  t-sql  (mssqldb)

15.  pl/sql(oracledb)

16.  actionsc ript

17.  objective-c(iphone)

18.coldfusion

19.python

fortify

sca支持扫描字节码（java源代码编译之后的形式），支持class文

件、jar文件。

2. fortify

sca全mian支持ruby语言

3. fortify

sca支持xin版本的苹果ios移动应用测试，xcode6.0,

6.1,and6.2

20.cobol

21.sap-abap

强化sca与强化ssc之间的差异

webinspect是与ssc---匹配的动态代码分析工具。不幸的是，他们没有任何---的ci集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。

实际上webinspect（使用webinspect enterprise集成到ssc中，这个控制台连接到ssc，有效地创建了一个新版本的amp）和运行在java或.net应用程序上的runtime产品（以前称为rta），并且可以在运行时执行各种各样的事情（记录/停止攻击等） - 

1

@keshi现在他们为jenkins提供插件，并且可以与jira集成。 - 克里希纳·潘迪2月23日16时5分13分

请说明，同样的---yzser---（也称为sca）由audit workbench和各种sca插件（maven，jenkins，eclipse，visual studio，intellij，xcode等）调用。 ssc不运行sca。 ssc管理从sca输出的fpr文件。[6]---写了这本书，安全编码与静态分析，并发表了研究，包括javasc ript---，[7]攻击构建：交叉构建注入，[8]观察你写的：通过观察程序输出来防止跨站点---[9]和动态趋势传播：找不到攻击的脆弱性[10]。 - walthouser apr 14 16 at 21:07