一、对比分析我们使用WebGoat做为测试用例，来分析一下两个产品的差异。1、使用工具：?FortifySCA?SonarQube2、使用默认规则，不做规则调优。3、扫描后直接导出报告，不做审计。二、扫描问题总览FortifySCA扫描结果报告：从上边可以看出：Fortify扫描出Critical和High级别的漏洞共计757条。SonarQube扫描出阻断和严重级别的漏洞为28条，关于软件质量问题有2K+条。三、Fortify扫描内容分析Fortify扫描出来的内容，源代码扫描工具fortifysca，基本上都是和安全相关的信息。例如：?PrivacyViolation?Cross-SiteScripting:Reflected?Cross-SiteScripting:Persistent?SQLInjection对“关于FortifySSC”框的更改“管理”视图的“配置”部分现在包括“关于”页，源代码审计工具fortifysca，您可以从中配置“关于”框中的“支持”链接。有关如何更改“支持”链接的信息，请参阅用户指南中的“自定义Fortify软件安全中心关于框”。对SAMLSSO配置的更改用于配置Fortify软件安全中心以使用SAMLSSO的过程已更改（请参阅用户指南中的“配置Fortify软件安全中心以使用符合SAML2.0的单点登录解决方案”）阻止启动时刷新LDAP/启用持久缓存的LDAP数据以前，安徽fortifysca，LDAP数据驻留在内存缓存中，并在服务器关闭时丢失。现在，您可以启用缓存的数据在关机后保留，以便重新启动Fortify软件安全中心的速度要快得多，尤其是对于大型LDAP环境。更多信息请参阅用户指南中的“启用LDAP缓存的持久性”。更新了Kubernetes支持支持Kubernetes1.23和1.24支持Helm3.9{FortifySCA}是静态应用程序安全性测试(SAST)产品，可供开发团队和Securityexpert分析源代码、检测源代码的安全漏洞。帮助开发人员更快更轻松地识别问题并排定问题优先级，源代码扫描工具fortifysca，然后加以解决。关键功能1、FortifySCA支持丰富的开发环境、语言、平台和框架，可对开发与生产混合环境进行安全检查。2、支持25+种编程语言（ABAP/BSP、Script/MXML(Flex)、ASP.NET、VB.NET、C#(.NET)C/C++、ClassicASP、COBOL、ColdFusionCFML、HTML、Java（包括Android）、JavaScript/AJAX、JSP、Objective-C、PHP、PL/SQL、Python、T-SQL、Ruby、Swift、VisualBasic、VBScript、XML、Scala等）的分析。3、支持超过911，000个组件级API分析。4、可检测超过946+种漏洞类别。5、支持所有主流平台（window/linux/macOS）、构建环境和IDE。6、支持国际安全标准（OWASPT102017、OWASPMobileT10、SNAS25、CWE、PCISSF、PCIDSS、GDPR、MISRA、DISA、STIG、FISMA等）。源代码扫描工具fortifysca-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业软件等行业。，在苏州工业园区新平街388号的名声不错。欢迎来电垂询，联系人：华克斯。)