首頁 > 產品中心 > Fortify Static Code Analyzer 
應用程序會帶來風險和安全漏洞
軟件開發人員面臨的現實
■ 構建新特征與新功能
■ 日益加劇的復雜性
■ 數不勝數的交付日期
■ 日漸萎縮的預算
■ 產品延期
這些詞語無時無刻不在軟件開發人員的耳邊縈繞,因為這些正是他們在開發重要業務應用程序時所面臨的需求。當今的應用程序構建需要滿足不計其數的復雜需求,開發人員因此感到顧此失彼,安全性考慮只能退居其次。與此同時,各種威脅不斷演變,對手也越來越擅長利用應用程序這一軟肋。Fortify Static Code Analyzer (SCA) 可幫助組織抵御當今最大的安全風險,即運行于企業內部的應用程序。
Fortify Static Code Analyzer
Fortify SCA 是一款靜態應用程序安全性測試(SAST) 產品,可供開發團隊和安全專家分析源代碼,檢測安全漏洞。該功能可檢查代碼,能夠幫助開發人員更快更輕松地識別問題并排定問題優先級,然后加以解決。
Fortify SCA 可助力開發人員:
■ 提前并經常性地掃描源代碼
■ 將漏洞的根本原因鎖定到代碼行
■ 關聯結果并對其進行優先級排序
■ 加快開發速度并縮短
■ 快速修復安全漏洞
■ 審視最佳實踐,幫助開發人員以更安全的方式進行編碼
什么是靜態代碼分析?
靜態代碼分析可有效識別源代碼中的安全漏洞。靜態代碼分析應當在開發生命周期 的前期完成,并且應持續貫穿應用程序的 整個生命周期。它能夠在開發過程中就代 碼中出現的問題快速向開發人員提供反饋。
為何?Fortify SCA 非常適合您
全面
Fortify SCA 支持豐富的開發環境、語言、平臺和框架,可對開發與生產混合環境進行安全檢查。
■ 25 種編程語言
■ 超過?911,000 個組件級?API
■ 可檢測超過?961 個漏洞類別
■ 支持所有主流平臺、構建環境和IDE
統計信息
■ 超過?84% 的安全漏洞發生在應用程序層①
■ 重大?Web 安全漏洞可影響近乎半數的?Web 應用程序②
■ 52% 的?Web 應用程序會遇到輸入驗證、跨站點腳本編寫和?SQL 注入等問題③
■ 33% 的應用程序從未經過安全漏洞測試④
① Gartner 魔力象限報告
② Micro Focus 網絡風險報告
③ 同上
④ 調研:未進行安全性投資的移動應用程序開發人員
準確
Fortify SCA 可提供準確的結果,并且能檢測出大量其他靜態測試技術所無法檢測的問題。Fortify SCA 可對漏洞進行優先級排序, 從而提供準確的操作計劃,交付已按風險劃分等級和分類的問題。該產品遵循由Micro Focus? Security Fortify 軟件安全研究團隊擴展和更新的一套最大且最全面的安全編碼規則。
靈活
Fortify SCA 可融入您的現有開發環境。它是一款靈活的命令行靜態代碼分析器,可通過腳本、插件和?GUI ?工具集成到任何環境,便于開發人員快速輕松地啟動運行。
高效
那些需要加速實現應用程序安全計劃的組織將從更短的掃描時間中獲益淺。Fortify SCA 可通過提供增量掃描,幫助開發人員提升編程效率。通過只分析自上一次完整掃描之后變更的代碼部分,增量掃描可縮短運行掃描所需的時間。這將顯著縮短掃描時間,從而讓開人員加速獲得結果,該產品還能通過支持更加頻繁的掃描來提高工作效率,并可以更快地將軟件投入到生產當中。
可擴展
由于應用程序來自于公司內部、外包、第三方、開源、移動等多個來源,再加上這些應用程序具有驚人的數目和復雜性,因此想要測試并保持企業中的所有這些應用程序類型的安全無虞便顯得困難重重。Fortify SCA 支持業內大部分編程語言,能夠識別所有類型應用程序中的風險,并可根據不斷增長的企業需求進行擴展。
內部部署或按需部署
Fortify SCA 能夠以多種交付模式運行,旨在適應不斷變化的需求和要求。
■ 內部部署 — 適用于部署、管理及現場運行靜態應用程序安全性測試計劃的Fortify SCA。
■ 按需部署 — Fortify on Demand 是一項托管應用程序安全性測試服務,它能 以一種簡單、準確的方式啟動靜態、 動態和移動測試,同時無需前期投資、額外的資源和時間
支持的語言
■ ABAP/BSP
■ ActionScript/MXML (Flex)
■ ASP.NET、VB.NET、C# (.NET)
■ C/C++
■ Classic ASP (帶?VBScript)?COBOL
■ ColdFusion CFML
■ HTML
■ Java(包括?Android)
■ JavaScript/AJAX
■ JSP
■ Objective-C
■ PHP
■ PL/SQL
■ Python
■ T-SQL
■ Ruby
■ Swift
■ Visual Basic
■ VBScript
■ XML
■ Scala
支持的IDE
■ Eclipse
■ IntelliJ Ultimate
■ IntelliJ Community Android Studio
■ IBM Rational Application Developer (RAD)
■ IBM Rational Software Architect (RSA)
■ Microsoft Visual Studio
支持的構建工具
■ Ant
■ Jenkins
■ Maven
■ MSBuild
■ Xcodebuild
Fortify 的軟件安全漏洞分類
漏洞類別
談到軟件安全,目前對何謂重大漏洞尚沒有統一的標準。眾多組織都發布了自己對嚴重漏洞的解讀,這導致對標準產生了認知差異和疑惑。為了幫助開發人員了解導致安全漏洞的常見編碼錯誤類型,Fortify 編寫了軟件開發七宗罪(The Seven Pernicious Kingdoms),在其中統一了漏洞的組織分類,并將它們對應到?OWASP、SANS、CWE 和?FISMA 等標準中。
作為一家業界公認的頂尖安全組織,Fortify 安全研究團隊是一支監控新型威脅全球團隊。他們會以漏洞檢查的形式將收集到的知識輸送到?Micro Focus Security Fortify 產品套件中,確保及時檢測出最新的威脅。該團隊創建了一套漏洞類別分類規則,力求幫助開發人員了解各種影響應用程序的安全漏洞。
