logo
  1. 首頁
  2. 產品類別
  3. Fortify 原始碼檢測工具

什麼是源碼檢測?OpenText(Fortify)靜態與動態弱點檢測有何不同?

源碼檢測(靜態應用程式檢測)

源碼檢測又稱原始碼檢測、SAST、白箱測試、靜態應用程式檢測,是針對應用程式的原始碼進行測試與分析,找出潛在的漏洞與弱點並進行修補作業,並非檢查已完成的程式。所以建議在開發階段導入,才能大幅節省修復成本與時間。

動態應用程式檢測

而動態應用程式檢測又稱為黑箱測試、DAST,是透過模擬駭客攻擊的手法,由外而內搜索正在運行中的應用程式漏洞,當發現有漏洞時會自動發送警訊,因此可檢測出靜態應用程式安全測試工具無法識別的缺陷。

應用程式安全檢測對法規的重要性

全球數位化趨勢加劇網路安全風險,促使企業資安防護開始受到外部法規要求。公家機關、金融機構及上市櫃公司陸續面臨需執行源碼檢測、動態應用程式檢測的要求,以確保程式及網頁的安全性。Fortify SCA 與 WebInspect 能協助各行業符合以下規範:

金融業 製造業 半導體業 政府單位 企業
  • PCI-DSS
  • 證交所證券商內部控制制度
    標準規範
  • 金融機構辦理電腦系統資訊
    安全評估辦法
  • 個資法
  • 歐盟 GDPR
  • ISO27001
 SEMI E187 行政院資通安全管理法 證交所上市上櫃公司資通安全
管控指引

Fortify 原始碼/網站檢測 找出漏洞落實資安防護

Fortify 提供全方位的原始碼/網站檢測解決方案,包含:

靜態應用程式安全測試 SAST
(Static Application Security Testing)

動態應用系統安全測試 DAST
(Dynamic Application Security Testing)

互動式應用系統安全測試 IAST
(Interactive Application Security Testing)

程式執行階段自我保護 RASP
(Runtime Application Self-Protection)

Fortify 源碼檢測

軟體程式如何防駭無漏洞?顧問服務重要嗎?

運用 Fortify SCA(Static Code Analyzer)靜態原始碼檢測分析工具與 WebInspect 動態應用程式檢測工具進行測試與分析,找出程式碼或網站中的安全弱點與資安漏洞產出報告,深入目前企業資安威脅,並對應到此問題所在的程式碼行數,讓 IT、開發及資安人員能快速修復安全弱點,確保原始碼(source code)及網站安全無虞。亦可針對開發、品質保證(Quality Assurance,QA)或生產環境中執行的程式安全應用,迅速鑑別和驗證其中的重大高風險資安漏洞,杜絕惡意程式攻擊 360 度全方位守護企業資安並且降低維運成本。

Fortify SCA 靜態原始碼檢測分析工具
  • 快速找到資安弱點與漏洞位置
  • 指出安全弱點詳情,並提供修復建議
  • 節省程式開發及弱點修復的成本
  • 確保系統上線服務的安全性
深入瞭解 Fortify SCA→
WebInspect 動態應用程式測試工具
  • 使用全面的攻擊場景模擬方式,檢測運行中的網站和 web 服務安全漏洞
  • 協助驗證一個特定的程式漏洞,在實務上是否可以被利用的資安漏洞
  • 協助確認資訊安全問題所在與發生原因,加快軟體程式修復速度
  •  
深入瞭解 WebInspect→

Fortify 源碼檢測工具 從源頭去除資安弱點

  • 找出已部署軟體,目前有哪些軟體安全問題
  • 減少自行開發中或向供應商採購中的軟體風險
  • 滿足遵守內部安全規範或外部安全法的目標
  • 儀表板提供檢測結果的即時可視性與互動操作
  • 自動化檢測流程修復經驗可以重複分享
  • 主動式軟體安全管理,軟體可安全導入到所有軟體開發的流程中
  • 整合業界的 QA、軟體開發環境(Integrated Development Environment,IDE)工具與臭蟲追蹤系統,加快漏洞修復
Fortify 黑白防駭兼內顧外

解決多數「應用程式」含有高風險弱點

Gartner:

75% 的駭客攻擊來自應用程式

NIST:

92% 可利用的安全弱點是在軟體程式中

Micro Focus:

80% web 應用程式至少含有一個重大或高危險性弱點

近期重大資安事件:

駭客與犯罪集團擅長利用軟體資安漏洞進行竊取各項資料,包括客戶身分資料、訂單、智慧財產及現金,或是發起各種攻擊,中斷企業的營運,進而損害企業形象,並讓企業員工、客戶和公眾限於風險之中。

支援各式開發語言及架構

Fortify 支援 ABAP/BSP、ActionScript、Apex、ASP.NET、C#(.NET)、C/C++、Classic ASP(with VBScript)、COBOL、ColdFusion CFML、Go(GoLang)、HTML、Java(Android)、 JavaScript/AJAX、JSP、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Scala、Swift、T-SQL、VB.NET、VBScript、Visual Basic、XML 等語言與架構。符合開發人員使用需求,且實現法規遵循之要求,並持續更新中。

如果您已用過其他源碼檢測工具,但很多語言及架構不支援,請你一定要試試看 Fortify,感受支援廣泛語言及框架所帶來的方便性,滿足程式開發需求。
立即詢問計費方式
  • android
  • Apex
  • asp .net
  • c
  • c++
  • cobol
  • Cold Fusion
  • Flex
  • HTML5
  • java
  • javascript
  • .net
  • objective-C
  • oracle
  • php
  • python
  • ruby
  • sap
  • swift
  • t-sql
  • unnamed
  • Visual Basic 6.0
  • vb
  • windows mobile
  • xml
  • GoLang
  • Scala

Fortify SCA 的五大優勢

使用整合式靜態應用程式安全檢測進行安全編碼

在編碼過程中可即時發現並修復安全弱點。

靜態原始碼安全檢測特色→

啟動快速自動掃描

透過對應程式碼行數,依據範圍或速度最佳化安全弱點自動掃描作業。

常見靜態應用程式掃描方式→

符合 DevOps 的速度修復安全弱點

利用大量的分析結果,深入瞭解原始碼的詳細資訊,能够快速分類與修復繁雜的安全性問題。

瞭解什麼是 DevOPs→

自動化 CI/CD 工具中的安全性

提供 CI/CD 工具整合,使開發人員能夠掌控安全性。

CI/CD 工具有哪些→

強化您的 AppSec 應用程式安全程序

以快速與高度最佳化的靜態掃描來保護自訂與開放原始程式碼。能為軟體開發生命週期提供準確、快速和自動的應用程序安全解決方案。

嵌入 SDLC 降低開發成本提升速度→

Fortify 具體導入效益

Fortify的效益

減少尋找及修復軟體中的漏洞問題的時間
 從原本 2 週到 1 小時

降低開發,維復及遵守法規的相關成本
 平均每年節省約 380 萬美元

自動化的應用程式安全流程提升生產力
 高達 3,700 萬美元年收益

確保沒有安全漏洞,加速產品上市
 重複的漏洞從 80% 減至幾乎為零

立即詢問計費方式