静态应用安全测试(SAST)是什么?它指在软件开发的早期及时识别并修复安全漏洞,此时修复成本最低。
通过在开发过程中向团队提供引入代码的即时反馈,它大大减少了应用程序的安全风险,还可通过对工作中的开发人员进行安全培训,让团队交付更为安全的软件。
Fortify 静态代码分析器(SCA)利用多种算法和扩展的安全编码规则知识库,分析应用程序的源代码,及时发现可修复的漏洞。
为更好处理代码,Fortify SCA 的工作方式与编译器存在相似性——读取并将源代码文件转换为增强的中间结构,以快速执行安全分析。分析引擎由多个专门的分析程序组成,基于安全编码规则分析代码库是否违反了安全编码实践。除此外,Fortify SCA 还提供规则构建器以扩展静态分析,并包含自定义规则,用户根据受众和任务特性,灵活查看分析结果。
Fortify 软件安全中心(SSC)
Micro Focus Fortify 软件安全中心(SSC)是一个集中的管理存储库,为企业的整个应用安全程序提供可视性,以帮助解决整个软件组合的安全漏洞。
用户可以评估、审计、优先级排序和管理修复工作,跟踪软件安全测试活动,并通过管理仪表板和报告来衡量改进,以优化静态和动态应用安全测试结果。因为 Fortify SSC 服务器位于中心位置,可以接收来自不同应用的安全性测试结果(包括静态、动态和实时分析等),有助于准确描述整体企业应用安全态势。
Fortify SSC 可以对扫描结果和评估结果实现关联跟踪,并通过 Fortify Audit Workbench 或 IDE 插件(如 Fortify Plugin for Eclipse, Fortify Extension for Visual Studio)向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中,包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。
Fortify SCA 优势一览
01 扫描快又准
• 在开发早期就捕获了大部分代码相关性问题;
• 识别并消除源代码、二进制代码或字节代码中的漏洞;
• 支持 27 种编程语言中 815 种独特的漏洞类别,并跨越超过 100 万个独立的 API;
•在 OWASP 1.2b 基准测验中,真实阳性率为100%,证明了高度的准确性。
02 CI/CD 管道中的安全自动化
• 识别和优先处理构成更大威胁的漏洞,快速降低风险;
• 与CI/CD 工具充分集成,包括 Jenkins, ALM Octane, Jira, Atlassian Bamboo, Azure DevOps, Eclipse 和 Microsoft Visual Studio 等;
• 实时审查扫描结果并获得访问建议,通过代码行导航更快地发现漏洞和与审计开展协作。
03 节约开发时间和成本
• 嵌入 SDLC 后,开发时间和成本平均降低 25%,且早期修复漏洞成本比制作/发布后阶段低 30 倍;
• 发现漏洞数是原来的 2 倍,误报率降低 95%;(数据来源:《Micro Focus Fortify 2017 商业价值可持续交付》)
• 通过在开发人员工作时对他们进行静态应用安全测试培训,满足安全编码实践要求。
Fortify SCA 集成生态
01 灵活的部署选项 全面支持“应用安全即服务”、内部或云端部署
02 集成开发环境(IDE) Eclipse、Visual Studio、JetBrains(包括 IntelliJ)
03 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild
04 问题跟踪器 Bugzilla, Jira, ALM Octane
05 开源安全管理 Sonatype, Snyk, WhiteSource, BlackDuck
06 代码库 GitHub, Bitbucket
07 无限定制的 Swaggerized API
Fortify SCA 主要特性
01 覆盖大部分对开发者友好的语言,支持:
ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/ C++、Classic、ASP(与 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等
02 灵活的部署选项适应团队开发环境,比如:
Fortify On Demand 允许团队在完全基于 SaaS 的环境中工作;Fortify Hosted 通过在隔离的虚拟环境中工作,完全控制用户数据,为您提供 SaaS 和内部部署的更佳效果;Fortify On-Prem 允许团队对增强解决方案的所有方面有绝对的控制权。
03 安全助理,为开发人员提供实时的代码、安全分析和结果。
它提供了结构和配置分析器,这些分析器是专门为速度和效率而建立的,以支持我们最即时的安全反馈工具;安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。
安全助理还可以作为开发人员的额外工作助手,与静态扫描结合使用,帮助获得更全面的安全问题视图。目前,所有 Fortify SCA 和Fortify On-Prem SCA 的客户无需额外的许可证或费用,即可使用安全助理。
04 Audit Assistant 的机器学习能力,为您的企业识别相关度最高的漏洞并确定优先级,从而节省人工审计时间。
应用机器学习的自动化减少了人工审计时间,以扩大静态应用安全性测试的 ROI。好处在于:在几分钟内提供自动化的审计结果,更大限度地减少审计人员的工作量,以置信度对问题进行优先排序,在整个项目中创建准确和一致的审计结果;
以 DevOps 的速度进行审计,整合 SCA 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能;
除此外,还可以减少需要深度人工检查的问题数量;及时发现相关问题,及时排除误报;利用现有资源扩展应用安全等等。
05 ScanCentral 可支持服务器上的轻量级打包,并提供可扩展的、集中的 Fortify 扫描基础设施,以满足软件安全中心不断增长的现代化开发需求。
06 调整扫描以实现所需的灵活性,并可通过内部部署、按需部署或混合方式进行扩展等。
道普云创新集成Fortify SCA
基于Micro Focus公司技术支持,道普云测试SaaS平台集成了Micro Focus的Fortify Weblnspect和Fortify SCA,LoadRunner Enterprise三款明星产品,是目前国内屈指可数的可以同时提供代码测试、Web应用安全测试、性能测试、移动应用安全测试、功能自动化测试的云测试平台。
Micro Focus Fortify 大家族
Micro Focus Fortify 系列解决方案,能提供业界涵盖最广泛的软件生命周期的软件安全测试产品,包括:
· 用于静态应用安全测试(SAST)的 Fortify SCA:在开发过程中识别漏洞,并在最容易修复且成本最低的时候优先处理那些关键问题。扫描结果存储在 Fortify SSC 中。
· 用于动态应用安全测试(DAST)的 Fortify WebInspect:识别运行中的网络应用程序和网络服务的安全漏洞,并对其进行优先级排序;集成交互式应用程序安全测试(IAST),扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 Fortify SSC 中。
· Fortify 软件安全中心(SSC):作为 AppSec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式,以分类、跟踪、验证和管理软件安全活动。
· “应用安全即服务” Fortify on Demand:通过简单而灵活的方法,快速、准确地测试软件的安全性,无需额外资源,也无需安装和管理任何软件。
点击“在线咨询” 联系“销售顾问”,或免费体验 Micro Focus LoadRunner性能测试工具资格。