Fortify static code analyzer(SCA)静态应用程序安全性测试在线下载,免费下载

数据表 Fortify Static Code Analyzer (SCA) 静态应用程序安全性测试 CyberRes Static Code Analyzer (SCA) 可查明源代码中安全漏洞的根本原因，确定最严重问题的优先级，并提供有关如何修复这些问题的详细指导，以便开发人员可以利用集中式软件安全管理在更短的时间内解决问题。静态测试有助于构建更好的代码静态应用程序安全性测试 (SAST) 可在开发的早期阶段发现安全漏洞，此时它们的修复成本最低。它可以为开发人员提供即时反馈，使其了解在代码开发当中出现的问题，从而降低应用程序的安全性风险。静态应用程序安全性测试还会在开发人员的工作中提供安全性指导，使他们能够打造更安全的软件。 Fortify Static Code Analyzer (SCA) 使用多种算法和广泛的安全编码规则知识库来分析应用程序的源代码以发现可利用的漏洞。此技术对执行过程和数据可能遵循的每个可行路径进行分析，以识别和补救漏洞。尽早发现安全问题在处理代码方面，Fortify SCA 的工作方式与编译器非常相似 - 它读取源代码文件并将其转换为针对安全分析而增强的中间结构。此中间格式用于查找安全漏洞。分析引擎由多个专用分析器组成，它使用安全编码规则来分析代码库是否违反安全编码实践。 Fortify SCA 还提供了一个规则构建器，用于延伸和扩展静态分析功能，并且能够包括自定义规则。可通过多种方式查看结果，具体取决于受众和任务。使用 Fortify Software Security Center (SSC) 管理测试结果 Fortify Software Security Center (SSC) 是一个集中式管理储存库，可公开组织的整个应用程序安全计划，帮助修复整个软件组合中的安全漏洞。用户可以通过管理仪表板和报告来审查和审计补救工作，确定补救工作的优先级和管理补救工作，以及跟踪软件安全性测试活动，并衡量改进情况，以优化静态和动态应用程序安全性测试结果。 Fortify SSC 有助于准确地了解和审视整个企业内的应用程序安全状况。 Fortify SSC 服务器位于一个中心位置，可接收来自不同的应用程序安全性测试活动（比如静态、动态和实时分析）的结果。 Fortify SSC 可关联和跟踪扫描结果和评估结果随时间的变化，并通过 Fortify Audit Workbench 向开发人员提供信息，或通过 Fortify Plugin for Eclipse、Fortify Extension for Visual Studio 等 IDE 插件提供信息。集成生态系统包括： • 灵活的部署选项： AppSec 即服务、本地部署或云部署 • 集成开发环境 (IDE)：Eclipse、Visual Studio、 JetBrains（包括 IntelliJ） • C I/CD 工具： Jenkins、 Bamboo、 Visual Studio、 Gradle、Make、Azure DevOps、GitHub、 GitLab、Maven、MSBuild • 问题跟踪器：Bugzilla、Jira、ALM Octane • 开放源代码安全管理：Sonatype、Snyk、 WhiteSource、BlackDuck • 代码储存库：GitHub、BitBucket • 用于无限自定义的 Swaggerised API Fortify Static Code Analyzer (SCA) 静态应用程序安全性测试用户还可以手动或自动将问题推送到缺陷跟踪系统，包括 ALM Octane、Jira、Azure DevOps Server 和 Bugzilla。 • Audit Workbench − 智能视图 - 可视化使审计和修复变得更加轻松： • 从数据流的角度快速了解多个问题的相关性 • 应用智能视图筛选器以最高效的方式开始将问题分类或解决问题主要优势快速精准的扫描 • 静态应用程序安全性测试 (SAST) 可在开发初期捕获与代码相关的大部分问题 • 识别并消除源代码、二进制代码或字节代码中的漏洞 • Fortify SCA 可跨 27 种编程语言检测 815 个独特的漏洞类别，涵盖了一百多万个独立 API • 其准确度可在 OWASP 1.2b 基准中达到 100% 准报率在 CI/CD 管道中自动实现安全 • 通过识别哪些漏洞会造成最大威胁并对其排列优先级来降低风险。 • Fortify 集成了 CI/CD 工具，包括 Jenkins、 ALM Octane、 Jira、 Atlassian Bamboo、 Azure DevOps、 Eclipse 和 Microsoft Visual Studio。请参见 Forify 集成。 • 实时审查扫描结果，并可访问相关建议、代码行导航（以便更快地查找漏洞）和协作式审计。减少开发时间和成本 • 嵌入到 SDLC 之后，开发时间和成本可减少 25%。与生命周期早期发现的漏洞相比，生产阶段/发布后阶段的修复成本要高 30 倍 • 发现的漏洞数量增加 2 倍，误报率降低多达 95%（参考资料： Micro Focus Fortify 主打业务价值的持续交付 2017） • 通过指导开发人员在工作时进行静态应用程序安全性测试，实现安全的编码实践主要功能 • 覆盖对开发人员友好的语言 − 支持 ABAP/BSP、 ActionScript、 Apex、 ASP.NET、 C# (.NET)、 C/C++、 Classic、 ASP（带 VBScript）、 COBOL、 ColdFusion CFML、 HTML、 Java（包括 Android）、 JavaScript/AJAX、 JSP、 Kotlin、 MXML (Flex)、 Objective C/C++、 PHP、 PL/SQL、 Python、 Ruby、 Swift、 T-SQL、 VB.NET、 VBScript、 Visual Basic 和 XML − “Fortify 软件系统要求”文档详细介绍了支持的语言。 • 集成到 CI/CD 工具中（IDE、Bug 跟踪器、开放源代码） − 支持所有主要 IDE：Eclipse、Visual Studio、JetBrains（包括 IntelliJ） − 可使用缺陷管理集成功能以透明的方式补救安全问题 − 开放源代码集成：Sonatype、 WhiteSource、Snyk、BlackDuck − Swagger 支持的 REST API、开放源代码 GitHub 储存库与 Bamboo、 Azure Devops 和 Jenkins 的插件和扩展程序相结合，构成了用于自动执行 CI/CD 管道的工具类型。 • 灵活的部署选项，满足您的团队对于开发环境的需求 − Fortify On Demand 可让团队在完全基于 SaaS 的环境中工作 − Fortify Hosted 在完全控制用户数据的隔离虚拟环境中运行，让您可以充分利用 SaaS 和本地解决方案。 − Forify On-Prem 让团队可以充分掌控 Fortify 解决方案的方方面面。 • Security Assistant 为开发人员提供实时的即输代码安全性分析和结果。 − 它提供结构化分析器和配置分析器，专为提高速度和效率而构建，为我们最即时的安全反馈工具提供助力。 − Security Assistant 只会发现高可信度的（完全准报或极低误报率）、立即在 IDE（Microsoft Visual Studio、 Eclipse 和 IntelliJ）中产生影响的结果。建议将 Security Assistant 用作开发人员的附加辅助工具，并与完全静态扫描配合使用，以更全面地查看安全问题。所有当前的 Fortify Static Code Analyzer 和 Fortify on Demand Static Assessments 客户都有权使用 Security Assistant，而无需额外的许可证/费用。 • Audit Assistant 通过计算机学习来识别与组织最相关的漏洞并排定其优先级，从而节省人工审计时间。通过应用计算机学习实现自动化操作，可减少人工审计时间，从而提高静态应用程序安全性测试计划的投资回报率。 − 在几分钟内提供自动化审计结果 − 最大限度地减少审计员工作量 − 按照置信度排列问题的优先级 − 在整个项目中创建准确一致的审计结果 − 以 DevOps 的速度审计结果；可以集成 SCA 以构建服务器、指定代码管理服务器来源，并且更频繁地扫描以获得即时结果 − 减少需要手动进行深入检查的问题数量 − 及早发现相关问题并消除误报 − 利用现有资源提高应用程序安全性 2 Fortify Static Code Analyzer (SCA) 静态应用程序安全性测试 “借助 Fortify Static Code Analyzer，我们可以比以往任何时候更高效地发现、分析和解决潜在的问题。 ” Brenton Witonski 高级 IT 安全工程师 Acxiom 请通过 CyberRes.com 联系我们喜欢此内容？欢迎分享。 • ScanCentral 在构建服务器上实现了轻量级打包，并提供可缩放、集中式的 Fortify 扫描基础设施，以满足在 Fortify 软件安全中心内不断增长的现代开发需求。 • 通过调整扫描，灵活实现所需的覆盖范围。 − 提高了扫描性能 − 可调整以快速扫描 − 可调整以获得全面且更准确的结果 − RESTful API/Swaggerised API • 可通过本地、按需或混合方法进行缩放准确评估应用程序的安全性状态 Fortify 提供了涵盖软件生命周期的、最广泛的软件安全性测试产品组合： • 面向静态应用程序安全性测试 (SAST) 的 Fortify Static Code Analyzer (SCA)：在开发期间发现漏洞，并在修复过程最简单