Cybersecurity Static Code Analyzer (SCA)可查明源代码中安全漏洞的根本原因,确定最严重问题的优先级,并提供有关如何修复这些问题的详细指导,以便开发人员可以利用集中式软件安全管理在更短的时间内解决问题。
静态测试有助于构建更好的代码
静态应用程序安全性测试(SAST)可在开发的早期阶段发现安全漏洞,此时它们的修复成本最低。它可以为开发人员提供即时反馈,使其了解在代码开发当中出现的问题,从而降低应用程序的安全性风险。静态应用程序安全性测试还会在开发人员的工作中提供安全性指导,使他们能够打造更安全的软件。
Static Code Analyzer (SCA) 使用多种算法和广泛的安全编码规则知识库来分析应用程序的源代码以发现可利用的漏洞。此技术对执行过程和数据可能遵循的每个可行路径进行分析,以识别和补救漏洞。
尽早发现安全问题
在处理代码方面,Fortify SCA 的工作方式 与编译器非常相似——它读取源代码文件并的工作方式将其转换为针对安全分析而增强的中间结构。此中间格式用于查找安全漏洞。分析引擎由多个专用分析器组成,它使用安全编码规则来分析代码库是否违反安全编码实践。Fortify SCA 还提供了一个规则构建器,用于延伸和扩展静态分析功能,并且能够包括自定义规则。可通过多种方式查看结果,具体取决于受众和任务。
使用Fortify Software Security Center (SSC)管理测试结果
Fortify Software Security Center (SSC) 是一个集中式管理储存库,可公开组织的整个应用程序安全计划,帮助修复整个软件组合中的安全漏洞。用户可以通过管理仪表板和报告来审查和审计补救工作,确定补救工作的优先级和管理补救工作,以及跟踪软件安全性测试活动,并衡量改进情况,以优化静态和动态应用程序安全性测试结果。Fortify SSC 有助于准确地了解和审视整个企业内的应用程序安全状况。Fortify SSC 服务器位于一个中心位置,可接收来自不同的应用程序安全性测试活动(比如静态、动态和实时分析)的结果。
Fortify SSC 可关联和跟踪扫描结果和评估结果随时间的变化,并通过OpenText™ Fortify Audit Workbench 向开发人员提供信息,或通过Fortify Plugin for Eclipse、OpenText™ Fortify Extension for Visual Studio 等 IDE 插件提供信息。
集成生态系统包括:
灵活的部署选项:AppSec 即服务、本地部署或云部署
集成开发环境(IDE):Eclipse、Visual Studio、JetBrains(包括 IntelliJ)
CI/CD工具:Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild
问题:Bugzilla、Jira、ALM Octane
开放源代码安全管理:Sonatype、Snyk、WhiteSource、BlackDuck
代码储存库:GitHub、Bitbucket
用于无限自定义的 Swaggerised API
主要优势
优势1、快速精准的扫描
•静态应用程序安全性测试 (SAST) 可在开发初期捕获与代码相关的大部分问题;
•识别并消除源代码、二进制代码或字节代码中的漏洞;
•Fortify SCA 可跨27种编程语言检测 815 个独特的漏洞类别,涵盖了一百多万个 API;
•其准确度可在 OWASP 1.2b 基准中达到100%准报率。
优势2、在CI/CD管道中自动实现安全
•通过识别哪些漏洞会造成最大威胁并对其排列优先级来降低风险
•Fortify 集成了CI/CD工具,包括Jenkins、、Jira、Atlassian Bamboo、Azure DevOps、Eclipse和Microsoft Visual Studio。
•实时审查扫描结果,并可访问相关建议、代码行导航(以便更快地查找漏洞)和协作式审计。
优势3、减少开发时间和成本
•嵌入到 SDLC 之后,开发时间和成本可减少相比,生产阶段25%。与生命周期早期发现的漏洞/发布后阶段的修复成本要高30倍。
•发现的漏洞数量增加2倍,误报率降低多达95%
•通过指导开发人员在工作时进行静态应用程序安全性测试,实现安全的编码实践
主要功能
功能1、覆盖对开发人员友好的语言
−支持ABAP/BSP、ActionScript、Apex、ASP.NETC#(.NET)、C/C++、Classic、ASP(带VBScript)、COBOL、ColdFusion CFML、HTML、Java(包括Android)、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、ObjectiveC/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic和XML
−“Fortify软件系统要求”文档详细介绍了支持的语言。
功能2、集成到CI/CD工具中(IDE、Bug、开放源代码)
−支持所有主要 IDE:Eclipse、VisualStudio、JetBrains(包括IntelliJ)
−可使用缺陷管理集成功能以透明的方式补救安全问题
−开放源代码集成:Sonatype、WhiteSource、Snyk、BlackDuck
−Swagger 支持的 REST API、开放源代码 GitHub 储存库与 Bamboo、Azure Devops 和 Jenkins 的插件和扩展程序相结合,构成了用于自动执行 CI/CD 管道的工具类型。
功能3、灵活的部署选项,满足您的团队对于开发环境的需求
−OpenText™ Fortify On Demand 可让团队在完全基于 SaaS 的环境中工作。
−Fortify Hosted 在完全控制用户数据的隔离虚拟环境中运行,让您可以充分利用 SaaS 和本地解决方案
−Fortify On-Prem 让团队可以充分掌控 Fortify 解决方案的方方面面。
功能4、Security Assistant 为开发人员提供实时的即输代码安全性分析和结果。
−它提供结构化分析器和配置分析器,专为提高速度和效率而构建,为我们最即时的安全反馈工具提供助力。
−Security Assistant 只会发现高可信度的(完全准报或极低误报率)、立即在 IDE(Microsoft Visual Studio、Eclipse 和 IntelliJ)中产生影响的结果。建议将 Security Assistant 用作开发人员的附加辅助工具,并与完全静态扫描配合使用,以更全面地查看安全问题。所有当前的Fortify Static Code Analyzer 和 Fortify on Demand Static Assessments 客户都有权使用 Security Assistant,而无需额外的许可证/费用。
功能5、Audit Assistant 通过计算机学习来识别与组织最相关的漏洞并排定其优先级,从而节省人工审计时间。通过应用计算机学习实现自动化操作,可减少人工审计时间,从而提高静态应用程序安全性测试计划的投资回报率。
−在几分钟内提供自动化审计结果
−最大限度地减少审计员工作量
−按照置信度排列问题的优先级
−在整个项目中创建准确一致的审计结果
−以 DevOps 的速度审计结果;可以集成管理服务器来源,并且更频繁地扫描 SCA 以构建服务器、指定代码以获得即时结果
−减少需要手动进行深入检查的问题数量
−及早发现相关问题并消除误报
−利用现有资源提高应用程序安全性
功能6、ScanCentral 在构建服务器上实现了轻量级打包,并提供可缩放、集中式的扫描基础设施,以满足在 Fortify 软件安全中心内不断增长的现代开发需求。
功能7、通过调整扫描,灵活实现所需的覆盖范围。
−提高了扫描性能
−可调整以快速扫描
−可调整以获得全面且更准确的结果
−Restful API/Swaggerised API
功能8、可通过本地、按需或混合方法进行缩放。
准确评估应用程序的安全性状态
Fortify 提供了涵盖软件生命周期的、最广泛的软件安全性测试产品组合:
- 面向静态应用程序安全性测试(SAST)的Fortify Static Code Analyzer (SCA):在开发期间发现漏洞,并在修复过程最 简单且修复成本最低时确定关键问题的优先级。扫描的结果存储在 Fortify SSC 中。
- 面向动态应用程序安全性测试(DAST)的 OpenText™ WebInspect :发现运行的 Web 应用程序和 Web 服务中的安全性漏洞并确定其优先级。集成交互式应用程序安全性测试(IAST),通过扩大攻击面的覆盖范围来发现更多漏洞。扫描的结果可储存在 Fortify SSC 中。
OpenText™ Fortify Software Security Center:一个 AppSec 平台, 使组织能够自动执行应用程序安全方案。该平台为管理、开发和安全团队提供了一种协作方法,以帮助他们分类、跟踪、验证和管理软件安全活动。
面向安全性即服务的 Fortify on Demand:一种轻松灵活的方法,用于快速、准确地测试软件的安全性,无需分配 额外资源,也无需安装和管理任何软件。
OpenText Cybersecurity 为各种规模的公司和合作伙伴提供全面的安全解决方案。从预防、检测和响应,到恢复、调查和合规,我们统一的端到端平台可以通过全面的安全组合帮助客户构建网络恢复能力。基于我们的实时和环境相关威胁情报所提供的可操作见解,OpenText Cybersecurity 客户将从高效率产品、合规体验和简化的安全性中受益,能够帮助他们有效管理业务风险。
Fortify 提供最全面的静态和动态应用程序安全性测试技术,以及运行时应用程序监视和保护,并由行业领先的安全性研究机构提供支持。这些解决方案可以在内部部署或作为受管服务部署,以构建可缩放、敏捷的软件安全保障计划,从而满足当今 IT 组织不断变化的需求。
