青草青永久在线

Security Fortify 靜態代碼分析器

2018-05-23

應用程序帶來風險和安全漏洞

軟件開發人員的日常工作

? 開發新的特性和功能

? 不斷增加的復雜性

? 各種繁雜事務

? 截止時間

? 不斷縮水的預算

? 產品延期

這些詞會引起軟件開發人員的強烈共鳴,因為這些正是他們在創建關鍵業務應用程序時所面對的需求。如今,開發應用程序涉及無數的要求,開發人員整

天忙于應對這些要求,以致于無法優先考慮安全問題。而與此同時,威脅卻在不斷演變,攻擊者越來越擅長利用薄弱的環節 – 應用程序。Security Fortify 提供包括靜態代碼分析在內的一整套技術,幫助保護企業的業務運營所依賴的應用程序,讓其避開目前這種最大的安全風險。

Security Fortify 靜態代碼分析器

Security Fortify 靜態代碼分析器 (SCA)是一款靜態應用程序安全測試 (SAST) 產品,可供開發團隊和安全專家用于分析應用程序源代碼,以發現安全漏洞。該產品會審核代碼,幫助開發人員用更少的精力在更短時間內發現并解決問題。

Security Fortify SCA 使開發人員能夠:

? 在早期階段頻繁地掃描源代碼

? 在代碼行中精確地找到漏洞的根本原因

? 對結果進行關聯并確定其優先級

? 快速修復安全漏洞

? 查看最佳實踐,幫助他們以更安全的方式編寫代碼

為何Security Fortify SCA適合您

適合您的開發環境

Security Fortify SCA 支持各種開發環境、語言、平臺和框架,能夠在混合開發和生產環境中進行安全審核。

? 23 種編程語言

? 超過 836,000 個組件級 API

? 檢測超過 696 種獨特的漏洞類別

? 支持所有主流平臺、構建環境和IDE

市場上精確度最高的產品之一

Security Fortify SCA 提供精確結果并檢測極其廣泛的問題,令其他靜態測試技術望塵莫及。SCA 確定漏洞的優先級以提供詳細而精確的行動計劃,同時列出按風險高低排序的分類問題。該產品還遵循由Security Fortify 軟件安全專家不斷擴展和自動更新的最大且最完整的安全編碼規則集。

易于使用

Security Fortify SCA 適合您的現有開發環境。它是一款靈活的命令行靜態代碼分析器,可通過腳本、插件和 GUI工具集成到任何環境,因此開發人員可以快速、輕松地上手和運行。

可擴展到任何應用程序

應用程序的來源多種多樣,包括內部、外包、第三方、開源、移動和采購,因此測試和維護所有這些應用程序類型的安全完整性是一種挑戰。借助對業界大部分編程語言的支持,SCA 可以發現所有類型應用程序中的風險,并隨著企業需求的增長縱向擴展。

內部或按需

Security Fortify SCA 以多種交付模式提供,以滿足不斷變化的需求。

? 內部 – Security Fortify SCA,用于在現場部署、管理和運行靜態應用程序安全測試程序。

? 按需 – Security Fortify on Demand,一項應用程序安全測試托管服務,以輕松而精確的方式來啟動靜態、動態和移動安全測試,無需前期投資,可作為企業安全團隊的一種擴展。

Fortify 對軟件安全漏洞的分類

漏洞類別

就軟件安全而言,對于嚴重漏洞的定義并沒有一致的標準。有許多企業發布了自己對頭號漏洞的解釋,造成了這個概念的理解差異和混亂。為了幫助開

發人員了解導致形成安全漏洞的常見編碼錯誤類型,Fortify 編寫了 The SevenPernicious Kingdoms(編碼七大害),在其中統一了漏洞的組織分類,并將它們對應到 OWASP、SANS、CWE 和 FISMA等標準。


什么是靜態代碼分析?

靜態代碼分析可高效發現源代碼中的安全漏洞。靜態代碼分析應在開發周期的早期階段進行,同時在整個應用程序生命周期不斷進行。這種分析可立即向開發人員反饋開發時在代碼中引入的問題。

統計信息

? 80 % 以上的安全漏洞出現在應用程序層

? 嚴重的 Web 安全漏洞影響幾乎一半的 Web 應用程序

? 52% 的 Web 應用程序遇到過輸入驗證、跨站點腳本和 SQL 注入的問題

? 33% 的應用程序從未進行過安全漏洞測試。


支持的語言

? ABAP/BSP

? ActionScript/MXML (Flex)

? ASP.NET、VB.NET、C# (.NET)

? C/C++

? Classic ASP(帶 VBScript)

? COBOL

? ColdFusion CFML

? HTML

? Java(包括 Android)

? JavaScript/AJAX

? JSP

? Objective-C

? PHP

? PL/SQL

? Python

? T-SQL

? Ruby

? Swift

? Visual Basic

? VBScript

? XML


支持的 IDE

? Eclipse

? IntelliJ Ultimate

? IntelliJ Community Android Studio

? IBM Rational Application Developer (RAD)

? IBM Rational Software Architect (RSA)

? Microsoft? Visual Studio


支持的構建工具

? Ant

? Jenkins

? Maven

? MSBuild

? Xcodebuild