应用程序会带来风险和安全漏洞软件开发人员面临的现实
这些词语无时无刻不在软件开发人员的耳边 萦绕,因为这些正是他们在开发重要业务应 用程序时所面临的需求。当今的应用程序构 建需要满足不计其数的复杂需求,开发人员 因此感到顾此失彼,安全性考虑只能退居其 次。与此同时,各种威胁不断演变,对手也 越来越擅长利用应用程序这一软肋。Fortify Static Code Analyzer (SCA) 可帮助组织抵御当 今最大的安全风险,即运行于企业内部的应 用程序。 Fortify SCA 是一款静态应用程序安全性测试 (SAST) 产品,可供开发团队和安全专家分析 源代码,检测安全漏洞。该功能可检查代 码,能够帮助开发人员更快更轻松地识别 问题并排定问题优先级,然后加以解决。 Fortify SCA 可助力开发人员: 提前并经常性地扫描源代码 将漏洞的根本原因锁定到代码行 关联结果并对其进行优先级排序 加快开发速度并缩短扫描时间快速修复安全漏洞审视最佳实践,帮助开发人员以更安全 的方式进行编码 什么是静态代码分析? 静态代码分析可有效识别源代码中的安全 漏洞。静态代码分析应当在开发生命周期 的前期完成,并且应持续贯穿应用程序的 整个生命周期。它能够在开发过程中就代 码中出现的问题快速向开发人员提供反馈。 为何 Fortify SCA 非常适合您? 全面 Fortify SCA 支持丰富的开发环境、语言、平 台和框架,可对开发与生产混合环境进行 安全检查。 25 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE 准确 Fortify SCA 可提供准确的结果,并且能检测 出大量其他静态测试技术所无法检测的问 题。Fortify SCA 可对漏洞进行优先级排序, 从而提供准确的操作计划,交付已按风险 划分等级和分类的问题 。 该产 品 遵循由 Micro Focus® Security Fortify 软件安全研究 团队扩展和更新的一套最大且最全面的安 全编码规则。 灵活 Fortify SCA 可融入您的现有开发环境。它是 一款灵活的命令行静态代码分析器,可通过 脚本、插件和 GUI 工具集成到任何环境,便 于开发人员快速轻松地启动运行。 高效 那些需要加速实现应用程序安全计划的组 织将从更短的扫描时间中获益浅。Fortify SCA 可通过提供增量扫描,帮助开发人员提 升编程效率。通过只分析自上一次完整扫 描之后变更的代码部分,增量扫描可缩短 运行扫描所需的时间。这将显著缩短扫描 时间,从而让开人员加速获得结果,该产 品还能通过支持更加频繁的扫描来提高工 作效率,并可以更快地将软件投入到生产当中。 可扩展 由于应用程序来自于公司内部、外包、第 三方、开源、移动等多个来源,再加上这 些应用程序具有惊人的数目和复杂性,因 此想要测试并保持企业中的所有这些应用 程序类型的安全无虞便显得困难重重。 Fortify SCA 支持业内大部分编程语言,能够 识别所有类型应用程序中的风险,并可根 据不断增长的企业需求进行扩展。 内部部署或按需部署 Fortify SCA 能够以多种交付模式运行,旨在 适应不断变化的需求和要求。 内部部署 — 适用于部署、管理及现场 运行静态应用程序安全性测试计划的 Fortify SCA。 按需部署 — Fortify on Demand 是一项 托管应用程序安全性测试服务,它能 以一种简单、准确的方式启动静态、 动态和移动测试,同时无需前期投资、 额外的资源和时间。 支持的语言
支持的 IDE
支持的构建工具
Fortify 的软件安全漏洞分类 漏洞类别 谈到软件安全,目前对何谓重大漏洞尚没有 统一的标准。众多组织都发布了自己对严重 漏洞的解读,这导致对标准产生了认知差异 和疑惑。为了帮助开发人员了解导致安全漏 洞的常见编码错误类型,Fortify 编写了软件开 发七宗罪(The Seven Pernicious Kingdoms), 在其中统一了漏洞的组织分类,并将它们对 应到 OWASP、SANS、CWE 和 FISMA 等标准中。 作为一家业界公认的顶尖安全组织,Fortify 安 全研究团队是一支监控新型威胁全球团队。 他们会以漏洞检查的形式将收集到的知识输 送到 Micro Focus Security Fortify 产品套件中, 确保及时检测出最新的威胁。该团队创建了 一套漏洞类别分类规则,力求帮助开发人员 了解各种影响应用程序的安全漏洞。
|
上海望驰安防科技有限公司
地址:上海市浦东灵山路958号5号楼2楼
手机:18049824972
电话:021-50150593
邮箱: anying.ao@ruitde.com