Avis et détails du produit OpenText Static Application Security Testing

Fortify SCA dispose d'un large support de technologies, il prend en charge plus de 34 langues pour l'analyse statique. Il possède également d'énormes capacités d'intégration avec d'autres outils tiers. Avis collecté par et hébergé sur G2.com.

Il génère quelques faux positifs, ce que je n'ai pas aimé. Mais pour gérer les faux positifs, nous pouvons utiliser une fonctionnalité appelée "ignorer les problèmes", où une fois qu'il est ignoré, il ne sera plus disponible dans les analyses ultérieures. Avis collecté par et hébergé sur G2.com.

Fortify est un excellent analyseur de code. Ses plugins sont pratiques par rapport à d'autres solutions. Il peut identifier rapidement et précisément les erreurs. Il peut analyser le code en temps réel. Fortify Static Code Analyzer est pratique pour les programmes CI/CD. Il est également efficace et permet de gagner du temps. Il peut être facilement intégré avec Android Studio, Visual Studio, IntelliJ, etc. Fortify Static Code Analyzer nous avertit à temps s'il y a des fuites de sécurité. Toutes les fonctionnalités sont très bénéfiques une fois que vous connaissez leurs fonctionnalités appropriées. Avis collecté par et hébergé sur G2.com.

Le prix de Fortify Static Code Analyzer est un peu élevé. De plus, parfois, nous pouvons rencontrer des problèmes de dépannage. D'autres fonctionnalités peuvent également être améliorées pour le rendre plus pratique et facile à utiliser. Avis collecté par et hébergé sur G2.com.

Fortify a été le premier choix pour effectuer une analyse de code sécurisée (statique) depuis de nombreuses années parce que

1. Support des langages - il prend en charge à la fois les langages de développement hérités et modernes.

2. Modèle de déploiement - sur site, cloud, Sécurité en tant que service (FOD)

3. Support technique - Fortify aide non seulement les nouveaux clients avec une documentation détaillée mais offre également de bonnes formations. Avis collecté par et hébergé sur G2.com.

Il existe un problème inhérent de faux positifs avec tous les outils SCA. Ce qui diminue d'une certaine manière la valeur et augmente le temps de traitement pour trouver les véritables vrais positifs. Avis collecté par et hébergé sur G2.com.

Intégrations amicales et efficaces - IntelliJ, VS, Android Studio, etc. Tableau de bord organisé et leur plateforme de reporting absolument merveilleuse. Cela nous a vraiment aidés à atteindre nos objectifs de conformité ! Avis collecté par et hébergé sur G2.com.

Fortify devrait également développer une configuration DAST, cela marginaliserait vraiment notre efficacité en termes d'entrée et de temps. Avis collecté par et hébergé sur G2.com.

Précision exacte des problèmes dans le code et suggestions pour les corriger. Avis collecté par et hébergé sur G2.com.

un peu coûteux, également un peu difficile à configurer au début. Avis collecté par et hébergé sur G2.com.

Il montre comment corriger le code vulnérable. Avis collecté par et hébergé sur G2.com.

je n'ai pas trouvé le moyen automatique de créer les projets. Avis collecté par et hébergé sur G2.com.

Facilité d'utilisation, déploiement dans CI/CD et création de règles/rapports personnalisés. Avis collecté par et hébergé sur G2.com.

Dépend fortement des configurations JRE, ce qui rend la compilation et l'exécution plus lentes. Avis collecté par et hébergé sur G2.com.

Large éventail de prise en charge des langages de programmation, Capacité à générer des fichiers FPR à partir de pipelines CICD, Externalisation des analyses vers un autre serveur pour des raisons de performance. Avis collecté par et hébergé sur G2.com.

Lent parfois à compléter un grand nombre de fichiers dans un logiciel lourd. Avis collecté par et hébergé sur G2.com.

J'aime utiliser Fortify pour analyser le code source lors du déploiement. Il compilera le code et trouvera les vulnérabilités. Aucun autre outil ne compile le code pour l'analyse. La chose la plus importante est le résultat. Il trouvera toutes les failles critiques. Avis collecté par et hébergé sur G2.com.

Parfois, il affichera plus de problèmes de duplication. Le développeur doit travailler dessus et le résoudre. Avis collecté par et hébergé sur G2.com.

C'est une solution sur site et elle est compatible avec la plupart des langues couramment utilisées. Elle peut faire vérifier les résultats de l'analyse par un assistant d'audit qui réduira encore les faux positifs. Très facile à installer et peut être déployée sur des machines Windows ou Linux. Le module SSC peut être utilisé pour un meilleur reporting et suivi. De plus, elle peut être intégrée aux pipelines CI/CD pour des évaluations automatisées. Avis collecté par et hébergé sur G2.com.

Le reporting peut être plus intelligent, et les faux positifs sont légèrement plus élevés. Avis collecté par et hébergé sur G2.com.