首页 新闻资讯 Fortify 超强十二年,领跑 Gartner 应用安全魔力象限!

Fortify 超强十二年,领跑 Gartner 应用安全魔力象限!

静态应用安全测试(SAST)是什么?它指在软件开发的早期及时识别并修复安全漏洞,此时修复成本最低。

静态应用安全测试(SAST)是什么?它指在软件开发的早期及时识别并修复安全漏洞,此时修复成本最低。
通过在开发过程中向团队提供引入代码的即时反馈,它大大减少了应用程序的安全风险,还可通过对工作中的开发人员进行安全培训,让团队交付更为安全的软件。

Fortify 静态代码分析器(SCA)利用多种算法和扩展的安全编码规则知识库,分析应用程序的源代码,及时发现可修复的漏洞。
为更好处理代码,Fortify SCA 的工作方式与编译器存在相似性——读取并将源代码文件转换为增强的中间结构,以快速执行安全分析。分析引擎由多个专门的分析程序组成,基于安全编码规则分析代码库是否违反了安全编码实践。除此外,Fortify SCA 还提供规则构建器以扩展静态分析,并包含自定义规则,用户根据受众和任务特性,灵活查看分析结果。


Fortify 软件安全中心(SSC)

Micro Focus Fortify 软件安全中心(SSC)是一个集中的管理存储库,为企业的整个应用安全程序提供可视性,以帮助解决整个软件组合的安全漏洞。

用户可以评估、审计、优先级排序和管理修复工作,跟踪软件安全测试活动,并通过管理仪表板和报告来衡量改进,以优化静态和动态应用安全测试结果。因为 Fortify SSC 服务器位于中心位置,可以接收来自不同应用的安全性测试结果(包括静态、动态和实时分析等),有助于准确描述整体企业应用安全态势。

Fortify SSC 可以对扫描结果和评估结果实现关联跟踪,并通过 Fortify Audit Workbench 或 IDE 插件(如 Fortify Plugin for Eclipse, Fortify Extension for Visual Studio)向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中,包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。

Fortify SCA 优势一览

01 扫描快又准
• 在开发早期就捕获了大部分代码相关性问题;
• 识别并消除源代码、二进制代码或字节代码中的漏洞;
• 支持 27 种编程语言中 815 种独特的漏洞类别,并跨越超过 100 万个独立的 API;
•在 OWASP 1.2b 基准测验中,真实阳性率为100%,证明了高度的准确性。

02 CI/CD 管道中的安全自动化
• 识别和优先处理构成更大威胁的漏洞,快速降低风险;
• 与CI/CD 工具充分集成,包括 Jenkins, ALM Octane, Jira, Atlassian Bamboo, Azure DevOps, Eclipse 和 Microsoft Visual Studio 等;
• 实时审查扫描结果并获得访问建议,通过代码行导航更快地发现漏洞和与审计开展协作。

03 节约开发时间和成本
• 嵌入 SDLC 后,开发时间和成本平均降低 25%,且早期修复漏洞成本比制作/发布后阶段低 30 倍;
• 发现漏洞数是原来的 2 倍,误报率降低 95%;(数据来源:《Micro Focus Fortify 2017 商业价值可持续交付》)
• 通过在开发人员工作时对他们进行静态应用安全测试培训,满足安全编码实践要求。


Fortify SCA 集成生态
01 灵活的部署选项 全面支持“应用安全即服务”、内部或云端部署
02 集成开发环境(IDE) Eclipse、Visual Studio、JetBrains(包括 IntelliJ)
03 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild
04 问题跟踪器 Bugzilla, Jira, ALM Octane
05 开源安全管理 Sonatype, Snyk, WhiteSource, BlackDuck
06 代码库 GitHub, Bitbucket
07 无限定制的 Swaggerized API

 

Fortify SCA 主要特性

01 覆盖大部分对开发者友好的语言,支持:
ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/ C++、Classic、ASP(与 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等

02 灵活的部署选项适应团队开发环境,比如:
Fortify On Demand 允许团队在完全基于 SaaS 的环境中工作;Fortify Hosted 通过在隔离的虚拟环境中工作,完全控制用户数据,为您提供 SaaS 和内部部署的更佳效果;Fortify On-Prem 允许团队对增强解决方案的所有方面有绝对的控制权。

03 安全助理,为开发人员提供实时的代码、安全分析和结果。
它提供了结构和配置分析器,这些分析器是专门为速度和效率而建立的,以支持我们最即时的安全反馈工具;安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。
安全助理还可以作为开发人员的额外工作助手,与静态扫描结合使用,帮助获得更全面的安全问题视图。目前,所有 Fortify SCA 和Fortify On-Prem SCA 的客户无需额外的许可证或费用,即可使用安全助理。


04 Audit Assistant 的机器学习能力,为您的企业识别相关度最高的漏洞并确定优先级,从而节省人工审计时间。
应用机器学习的自动化减少了人工审计时间,以扩大静态应用安全性测试的 ROI。好处在于:在几分钟内提供自动化的审计结果,更大限度地减少审计人员的工作量,以置信度对问题进行优先排序,在整个项目中创建准确和一致的审计结果;
以 DevOps 的速度进行审计,整合 SCA 以构建服务器、源代码管理服务器和更频繁地扫描得出即时结果成为可能;
除此外,还可以减少需要深度人工检查的问题数量;及时发现相关问题,及时排除误报;利用现有资源扩展应用安全等等。

05 ScanCentral 可支持服务器上的轻量级打包,并提供可扩展的、集中的 Fortify 扫描基础设施,以满足软件安全中心不断增长的现代化开发需求。

06 调整扫描以实现所需的灵活性,并可通过内部部署、按需部署或混合方式进行扩展等。

道普云创新集成Fortify SCA

基于Micro Focus公司技术支持,道普云测试SaaS平台集成了Micro Focus的Fortify Weblnspect和Fortify SCA,LoadRunner Enterprise三款明星产品,是目前国内屈指可数的可以同时提供代码测试、Web应用安全测试、性能测试、移动应用安全测试、功能自动化测试的云测试平台。

Micro Focus Fortify 大家族

Micro Focus Fortify 系列解决方案,能提供业界涵盖最广泛的软件生命周期的软件安全测试产品,包括:
· 用于静态应用安全测试(SAST)的 Fortify SCA:在开发过程中识别漏洞,并在最容易修复且成本最低的时候优先处理那些关键问题。扫描结果存储在 Fortify SSC 中。

· 用于动态应用安全测试(DAST)的 Fortify WebInspect:识别运行中的网络应用程序和网络服务的安全漏洞,并对其进行优先级排序;集成交互式应用程序安全测试(IAST),扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 Fortify SSC 中。
· Fortify 软件安全中心(SSC):作为 AppSec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式,以分类、跟踪、验证和管理软件安全活动。
· “应用安全即服务” Fortify on Demand:通过简单而灵活的方法,快速、准确地测试软件的安全性,无需额外资源,也无需安装和管理任何软件。

点击“在线咨询” 联系“销售顾问”,或免费体验 Micro Focus LoadRunner性能测试工具资格。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。

作者: suifengmianlai

为您推荐

圆满落幕!望友精彩亮相2023工业软件生态大会

11月5日-6日,2023工业软件生态大会在深圳成功召开。

开目软件受邀出席2023工业软件生态大会,共探智造未来!

11月5日-6日,2023工业软件生态大会在深圳会展中心火热开展,作为中国高端工业软件领导品牌、行业领先的3D智能工艺软件提供商,开目软件受邀出席并发表主题演讲。

2023第四届中国FMEA峰会暨聪脉新品发布会圆满召开

2023 中国·深圳 第四届中国FMEA峰会 暨聪脉新品发布会 圆满召开 聚焦FMEA 11月1日,由聪脉(上海)信息技术有限公司(以下称聪脉)主办的中国第四届FMEA峰会暨聪脉新品发布会在深圳凯悦酒店圆满召开。

一周客户新闻速递

近期热点 NEWS 2023.11.6 客户新闻 聪脉知道 了解企业客户最新热点 关心企业客户最新资讯 企 业 客 户 新 闻 周 速 递 新闻速览 近期客户热点新闻 1 中国一汽研发总院成功举办中国汽车工程学会汽车非金属材料分会第十届年会 2 金溢科技助力西部首个智驾社区启用! 3 宝钢股份与中国港湾签署战略合作协议 4 4 3 4 日月光半导体推出整合设计生态系统IDE将封装设计效率提升且周期最高可缩短50% 5 广东亿迅2个创新产品入选国家级服务业数字化解决方案优秀案例 6 北方华创连续三年荣登中国电子百强企业榜单 7 广西康明斯发动机首次在柳工重型拖拉机上实现成功配套 聚焦汽车整车行业客户 中国一汽研发总院成功举办中国汽车工程学会汽车非金属材料分会第十届年会 11月2日,“中国汽车工程学会汽车非金属材料分会第十届年会”在湖北十堰隆重举行。

27地入选!住房城乡建设部开展工程建设项目全生命周期数字化管理改革试点

“ 为贯彻落实国务院关于工程建设项目审批制度改革部署,按照全国住房城乡建设工作会议关于“数字住建”工作部署要求,加快推进工程建设项目全生命周期数字化管理,近日,住房城乡建设部印发《关于开展工程建设项目全生命周期数字化管理改革试点工作的通知》,决定在天津等27个地区开展工程建设项目全生命周期数字化管理改革试点工作。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

返回顶部