标签：Java SCA 扫描 Fortify 源代码 FindBugs

前段时间因为工作原因需要对java源代码进行扫描，现结合使用经验对静态代码扫描工具Fortify SCA与FindBugs进行一个简单的对比。

一、Fortify SCA

Fortify SCA是由全球领先的软件安全产品解决方案供应商Fortify Software开发，致力于帮助客户在软件开发生命周期中建立安全机制，杜绝软件安全漏洞，避免经济上和声誉上的损失。

扫描原理：FortifySCA首先通过调用语言的编译器或者解释器把前端的语言代码（Java、C、C++等源代码）转换成一种中间媒体文件NST（Normal Syntax Trcc），将其原地阿妈之间的调用关系、执行环境、上下文等分析清楚。然后通过匹配所有规则库中的漏洞，若发现存在漏洞就抓取出来，显示在Fortify SCA扫描结果中。

是否收费：收费

支持语言：Java，JSP，C#，C，C++，PHP，VB.NET，ASP.NET，COBOL，ColdFusion，Transact-SQL，PL/SQL，JavaScript/Ajax，Classic，ASP，VBScript，VB6

支持系统：Windows、Linux、Mac OS

安装方式：IDE插件(Eclipse、VS、WSAD、RAD)、命令行

分析页面：

 报告格式：PDF

二、FindBugs

FindBugs是由马里兰大学提供的一款开源静态代码分析软件。

扫描原理：Findbugs检查类或者JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题。Findbugs自带检测器，其中有60余种Bad practice，80余种Correctness，1种 Internationalization，12种Malicious code vulnerability，27种Multithreaded correctness，23种Performance，43种Dodgy。我们还可以自己配置检查规则(做哪些检查,不做哪些检查)，也可以自己来实现独有的校验规则(用户自定义特定的bug模式需要继承它的接口,编写自己的校验类,属于高级技巧)。

是否收费：开源

支持语言：Java

使用方式：IDE插件(Eclipse、NetBeans、Intellij IEDA)、GUI

支持系统：Windows、Linux

分析页面:

报告格式：XML

标签：Java,SCA,扫描,Fortify,源代码,FindBugs
来源： https://www.cnblogs.com/canyezhizi/p/10980851.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。