1.HP fortify SCA 扫描工具
主要是提供源码级别的安全漏洞扫描,可以输出完整的漏洞报告。支持业界主流的编程语言,支持各种操作系统平台,也能够支持集成在主流的IDE中。
对于java而言,只要有源代码即可完成扫描,对于C++而言,就比较痛苦一些,需要编译通过才允许对工程进行扫描。
扫描的原理是先把源码编译为fortify的中间语言代码,然后使用SCA分析引擎根据安全规则进行安全分析。
fortify规则库:https://www.fortify.com/vulncat/zh_CN/vulncat/index.html
2.黑鸦扫描工具
blackduck工具主要是提两方面的能力:1)提供对开源软件和第三方工具的扫描以评估开源风险 2)对开源软件进行系统的安全漏洞分析(应该是以NVD的数据为基础)。
这个玩意据说是
开源风险:开源license风险、开源安全漏洞风险、没有技术支持的开源软件...
blackduck license价格好像比较高,一般都是公司部署有限几个扫描中心,需要扫描的产品提交扫描中心进行统一的扫描处理并统一确认扫描结果后输出完整报告。操作上比较啰嗦。