it-swarm-es.com

Beneficios de la revisión de código seguro In-IDE vs. FatApp vs. WebApp

Para aquellos de ustedes que han trabajado con herramientas comerciales de revisión de código seguro, tales como:

  • Klocwork
  • Cobertizo
  • Armadura
  • Fortalecer
  • Checkmarx
  • AppScan Source Edition (anteriormente onza)

O tal vez un equivalente libre o de código abierto, tales como:

  • Cat.net
  • Findbugs
  • Klocwork solo
  • Armadura demo
  • Fotify TeamServer Demo (o el banco de trabajo de auditoría que viene con el libro)
  • Owasp O2 (onza abierta)

¿Por lo general, prefiere los complementos/complementos in-de los complementos/complementos de codificación segura de Fortify para Eclipse), la aplicación de grasas independientes (por ejemplo, Audit Workbench), una aplicación web (por ejemplo, armadura, Fortify TeamServer), una solución de servidor de compilación completa, et al ? ¿Por qué?

7
atdre

No hay mucho de una respuesta, pero diría que depende más del conjunto de características de cada producto y la libertad de cada interfaz.
P.ej. Fortify's IDE Plugin, FatApp y WebApp no ​​son equivalentes en funciones compatibles. ¡Aún más, el complemento Eclipse de Fortify no es equivalente a su propio complemento VisualStudio!

En principio, sin embargo, asumiendo que todo lo demás sea igual, mi preferencia sería:

  • Como auditor/consultor de seguridad, preferiría la independiente. No necesites comenzar a jugar con su entorno, me ayuda a enfocar más, etc.
  • Como desarrollador (y para mis clientes/desarrolladores), preferiría IDE Plugin, para que todo esté justo delante de ellos, ¡no necesito abrir otra herramienta, no se olvidará de Lo hace parte de su dev/compile, etc.
  • Una aplicación web para estadísticas (Ala, lo que fortalece intentado para hacer con su 360 servidor, pero no excelente IMO) es ideal para la administración y demás.

Una nota, la anterior depende principalmente de confiar en los escáneres de código automatizado, a diferencia de la revisión del código manual. A veces eso es lo que se necesita, pero en general generalmente no es lo suficientemente bueno.

3
AviD

Ambos son necesarios para elegir uno sobre el otro depende del enfoque de ciclo de vida del desarrollo: por ejemplo, generalmente en un proyecto Scrum, el IDE basados ​​tiene más sentido, ya que puede agregar un elemento de backlog solicitando Código de escaneo una vez por sprint o incluso una vez por día y eso sería muy útil.

Por otro lado, si se está desarrollando en cascada o en espiral, y luego en las versiones independientes de las herramientas sería una opción más inteligente para integrar muchos paquetes.

Como Avid mencionó para otros desarrolladores, la versión independiente sería mejor

3
Phoenician-Eagle

Al haber trabajado con Fortify como independiente, con su complemento Maven y un breve toque en su complemento de la Fundación Equipo, tengo un conjunto similar de preferencias para Avid:

  • ¡El estándar es encantador cuando se puede proporcionar con la base de código completa, se ejecuta rápidamente y siempre que tenga todas las dpendencias, simplemente funciona!

  • Para implementar un escenario de prueba recurrente, los complementos son la forma de ir, hágales que se construyeran para una compilación y construir revisiones automáticamente para problemas de seguridad.

  • La gerencia necesita informes y tendencias, por lo que se requiere un servidor de administración.

tl; Dr - Lo que dijo Avid, prácticamente :-)

3
Rory Alsop