Fortify 源碼檢測工具 從源頭降低資安弱點


Micro focus Fortify 軟體安全研究團隊發現:80% 的 web 應用程式至少含有一個重大或是高危險性的弱點。而根據美國商務部國家技術與標準局(The Commerce Department's National Institute of Standards and Technology,NIST)研究指出,92% 可利用的安全弱點是在軟體程式中。從近年重大資安事件可以發現,駭客與犯罪集團擅長利用軟體資安漏洞進行竊取各項資料,包括客戶身分資料、訂單、智慧財產及現金,或是發起各種攻擊,中斷企業的營運,進而損害企業形象,並讓企業員工、客戶和公眾限於風險之中。

Fortify 黑白防駭兼內顧外

Gartner 2020 應用程式安全測試魔力象限領導者


Fortify 是第一個提供 SAST 靜態應用程式安全測試(Static Application Security Testing)、DAST 動態應用系統安全測試(Dynamic Application Security Testing)、IAST 互動式應用系統安全測試(Interactive Application Security Testing)及 RASP 程式執行階段自我保護(Runtime Application Self-Protection)的企業資安檢測解決方案,能協助 IT 及開發人員透過靜態與動態程式碼分析,預先找出程式碼弱點、資安漏洞及惡意程式,確保原始碼(source code)安全無虞,防範企業資安威脅與損失。

根據國際研調機構 Gartner 2020 魔力象限(Magic Quadrant)評比顯示,Fortify 再度榮獲 AST 應用程式安全性測試(Application Security Testing)領導者的頭銜!以 AST 即服務交付模型進行測試,並提供多種功能,不論軟體處於正在部署、發展中或在規劃中的階段,皆可有效去除所有原始碼安全風險、檢測安全性漏洞與即時資安弱點報告,以滿足企業具體需求,並提供環境交付模式的選擇。


Fortify 支援最多程式語言及架構

**Gartner 免責聲明**
提及的任何廠商、產品或服務背書,且不會建議技術用戶只選擇具有最高評等或其他稱謂的廠商。Gartner 研究刊物包含 Gartner 研究組織的意見,不應被解釋為事實陳述。Gartner 不為本研究提供任何明示或暗示的保證,包括適銷性或特定用途適用性的任何保證。

用原始碼檢測與滲透測試工具找出漏洞落實資安防護


Fortify 能運用靜態原始碼檢測分析工具(Static Code Analyzer,SCA)與 WebInspect 動態應用程式檢測工具進行測試與分析,找出程式碼或網站中的安全弱點與資安漏洞產出報告,深入目前企業資安威脅,並對應到此問題所在的程式碼行數,讓資安人員能快速修復安全弱點。亦可針對開發、品質保證(Quality Assurance,QA)或生產環境中執行的程式安全應用,迅速鑑別和驗證其中的重大高風險資安漏洞。杜絕惡意程式攻擊 360 度全方位守護企業資安並且降低維運成本。

Fortify SCA 靜態原始碼檢測分析工具
  • 快速找到資安弱點與漏洞位置
  • 指出安全弱點詳情,並提供修復建議
  • 節省程式開發及弱點修復的成本
  • 確保系統上線服務的安全性
WebInspect 動態應用程式測試工具
  • 使用全面的攻擊場景模擬方式,檢測運行中的網站和 web 服務安全漏洞
  • 協助驗證一個特定的程式漏洞,在實務上是否可以被利用的資安漏洞
  • 協助確認資訊安全問題所在與發生原因,加快軟體程式修復速度

程式開發採購必備 Fortify 的六大優勢


  • 使用整合式靜態應用程式安全檢測進行安全編碼

    在編碼過程中可即時發現並修復安全弱點。

    靜態原始碼安全檢測特色
  • 多種開發人員使用語言

    符合開發人員使用程式語言及其架構需求,以及實現法規遵循之要求。

    看看哪 26 種開發語言及架構
  • 啟動快速自動掃描

    透過對應程式碼行數,依據範圍或速度最佳化安全弱點自動掃描作業。

    常見靜態應用程式掃描方式
  • 符合 DevOps 的速度修復安全弱點

    利用大量的分析結果,深入瞭解原始碼的詳細資訊,能够快速分類與修復繁雜的安全性問題。

    瞭解什麼是 DevOPs
  • 自動化 CI/CD 工具中的安全性

    提供 CI/CD 工具整合,使開發人員能够掌控安全性。

    CI / CD 工具有哪些
  • 強化您的 AppSec 應用程式安全程序

    以快速與高度最佳化的靜態掃描來保護自訂與開放原始程式碼。能為軟體開發生命週期提供準確、快速和自動的應用程序安全解決方案。

    嵌入 SDLC 降低開發成本提升速度

產品效益


  • 找出已部署軟體,目前有哪些軟體安全問題
  • 減少自行開發中或向供應商採購中的軟體風險
  • 滿足遵守內部安全規範或外部安全法的目標
  • 儀表板提供檢測結果的即時可視性與互動操作
  • 自動化檢測流程修復經驗可以重複分享
  • 主動式軟體安全管理,軟體可安全導入到所有軟體開發的流程中
  • 整合業界的 QA、軟體開發環境(Integrated Development Environment,IDE)工具與臭蟲追蹤系統,加快漏洞修復

Fortify 具體導入效益


*

減少尋找及修復軟體中的漏洞問題的時間


從原本 2 週到 1 小時

*

降低開發,修復漏洞及遵守法規的相關成本


平均每年節省約 380 萬美元

*

自動化的應用程式安全流程可以提升生產力


高達 3,700 萬美元年收益

*

確保沒有軟體安全漏洞的延遲,可以加速產品上市


重複的漏洞從 80% 減至幾乎為零

Fortify 支援哪些語言及架構


Fortify 支援 ABAP/BSP、ActionScript、Apex、ASP.NET、C#(.NET)、C/C++、Classic ASP(with VBScript)、COBOL、ColdFusion CFML、GoLang、HTML、Java(Android)、 JavaScript/AJAX、JSP、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Scala、Swift、T-SQL、VB.NET、VBScript、Visual Basic、XML 等語言與架構。

  • android
  • Apex
  • asp .net
  • c
  • c++
  • cobol
  • Cold Fusion
  • Flex
  • HTML5
  • java
  • javascript
  • .net
  • objective-C
  • oracle
  • php
  • python
  • ruby
  • sap
  • swift
  • t-sql
  • unnamed
  • Visual Basic 6.0
  • vb
  • windows mobile
  • xml