Я пытаюсь использовать Black Duck для своего приложения. У меня уже есть Veracode для сканирования моих приложений. Поэтому я хотел понять, чем сканирование Black Duck отличается от сканирования Veracode. Насколько технически сканирование отличается??
Чем сканирование кода Veracode отличается от сканирования кода Black Duck
Ответы (1)
Я предполагаю, что вы говорите о тестировании SAST с помощью Veracode; это форма анализа программы, при которой приложение анализируется в поисках потенциальных угроз безопасности, присутствующих в нем.
Black Duck выполняет анализ компонентов или «Анализ состава программного обеспечения (SCA)» — он анализирует приложение и составляет список известных компонентов, включенных в него (например, Spring Framework). Он ищет известные проблемы безопасности в этих компонентах, а также другие типы вещей, например, какие лицензии OSS используют эти компоненты и т. д.
Оба принимают приложение в качестве входных данных, но рассматривают потенциальный риск с разных точек зрения. SAST рассматривает риски в коде, который запускается приложением (т. е. который вы пишете), в то время как SCA рассматривает риски в компонентах, которые использует приложение.
Для большего чтения: