华北sonarqube安全审计-华克斯

Fortify 22.2.0 中的新增功能

Fortify SSC软件安全中心

以下功能已添加到 Fortify 软件安全中心。

**级覆盖功能

管理员现在可以允许用户更改或覆盖分配给问题的**级值。随着**级覆盖功能的引入，引擎**级选项被添加到分组依据菜单中。此分组选择根据标识问题的引擎分配的原始**级值返回问题。

确定ScanCentral SAST 作业的**级

在此版本中，中国sonarqube安全审计，您可以从 SCANCENTRAL SAST 选项卡将挂起的扫描请求移动到作业队列中的di一个位置。有关详细信息，请参阅用户指南中的“确定 ScanCentral SAST 扫描请求的**级”。

支持 Kubernetes 部署的 Tomcat 访问日志模式

Fortify Software Security Center 现在支持更改 Kubernetes 部署的 Tomcat 访问日志模式。有关详细信息，请参阅用户指南中的“为 Docker 镜像上的其他字段配置 Apache Tomcat 访问日志”。

{AppScan}黑盒扫描工具 

AppScan? 是一个适合safety engineering的 Web 应用程序和 Web 服务渗透测试解决方案。

关键功能：

· 对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试 (DAST) 和交互式应用程序安全测试 (IAST)。

· 支持 Web 2.0、JavaScript 和 AJAX 框架的all round JavaScript 执行引擎。

· 涵盖 XML 和 JSON 基础架构的REST Web 和  SOAP 服务测试支持 WS-Security 标准、XML 加密和 XML 签名。

· 详细的漏洞公告和修复建议。

· 40 多种合规性报告，包括支付卡行业数据安全标准 (PCI DSS)、支付应用程序数据安全标准 (PA-DSS)、ISO 27001 和 ISO 27002，代理商sonarqube安全审计，以及 Basel II。

.提供的自定义功能和可扩展性。

一、对比分析我们使用WebGoat做为测试用例，华北sonarqube安全审计，来分析一下两个产品的差异。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默认规则，不做规则调优。

3、扫描后直接导*，不做审计。

二、扫描问题总览

Fortify SCA扫描结果报告：

从上边可以看出：Fortify扫描出Critical和High级别的漏洞共计757条。

SonarQube扫描出阻断和严重级别的漏洞为28条，关于软件质量问题有2K+条。

Fortify扫描出来的内容，基本上都是和安全相关的信息。例如：?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection