全球數位化趨勢加劇網路安全風險,促使企業資安防護開始受到外部法規要求。公家機關、金融機構及上市櫃公司陸續面臨需執行源碼檢測、動態應用程式檢測的要求,以確保程式及網頁的安全性。
源碼檢測又稱原始碼檢測、SAST、白箱測試、靜態應用程式檢測,是針對應用程式的原始碼進行測試與分析,找出潛在的漏洞與弱點並進行修補作業,並非檢查已完成的程式。所以建議在開發階段導入,才能大幅節省修復成本與時間。
而動態應用程式檢測又稱為黑箱測試、DAST,是透過模擬駭客攻擊的手法,由外而內搜索正在運行中的應用程式漏洞,當發現有漏洞時會自動發送警訊,因此可檢測出靜態應用程式安全測試工具無法識別的缺陷。
Fortify 是一款強大的源碼檢測解決方案,能幫助開發人員及時發現潛在的原始碼資安漏洞,並協助修復;另外,Fortify 還支援多種語言,以滿足不同類型的應用程式開發需求。
運用 Fortify SCA(Static Code Analyzer)靜態原始碼檢測分析工具與 WebInspect 動態應用程式檢測工具進行測試與分析,找出程式碼或網站中的安全弱點與資安漏洞產出報告,深入目前企業資安威脅,並對應到此問題所在的程式碼行數,讓資安人員能快速修復安全弱點。亦可針對開發、品質保證(Quality Assurance,QA)或生產環境中執行的程式安全應用,迅速鑑別和驗證其中的重大高風險資安漏洞,杜絕惡意程式攻擊 360 度全方位守護企業資安並且降低維運成本。
75% 的駭客攻擊來自應用程式
92% 可利用的安全弱點是在軟體程式中
80% web 應用程式至少含有一個重大或高危險性弱點
駭客與犯罪集團擅長利用軟體資安漏洞進行竊取各項資料,包括客戶身分資料、訂單、智慧財產及現金,或是發起各種攻擊,中斷企業的營運,進而損害企業形象,並讓企業員工、客戶和公眾限於風險之中。
協助 IT 及開發人員透過靜態程式碼與動態應用程式分析,預先找出程式碼弱點、資安漏洞及惡意程式,確保原始碼(source code)安全無虞,防範企業資安威脅與損失。
Fortify 支援 ABAP/BSP、ActionScript、Apex、ASP.NET、C#(.NET)、C/C++、Classic ASP(with VBScript)、COBOL、ColdFusion CFML、Go(GoLang)、HTML、Java(Android)、 JavaScript/AJAX、JSP、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Scala、Swift、T-SQL、VB.NET、VBScript、Visual Basic、XML 等語言與架構。符合開發人員使用需求,且實現法規遵循之要求,並持續更新中。
在編碼過程中可即時發現並修復安全弱點。
靜態原始碼安全檢測特色透過對應程式碼行數,依據範圍或速度最佳化安全弱點自動掃描作業。
常見靜態應用程式掃描方式利用大量的分析結果,深入瞭解原始碼的詳細資訊,能够快速分類與修復繁雜的安全性問題。
瞭解什麼是 DevOPs提供 CI/CD 工具整合,使開發人員能夠掌控安全性。
CI/CD 工具有哪些以快速與高度最佳化的靜態掃描來保護自訂與開放原始程式碼。能為軟體開發生命週期提供準確、快速和自動的應用程序安全解決方案。
嵌入 SDLC 降低開發成本提升速度.減少尋找及修復軟體中的漏洞問題的時間
從原本 2 週到 1 小時
.降低開發,維復及遵守法規的相關成本
平均每年節省約 380 萬美元
.自動化的應用程式安全流程提升生產力
高達 3,700 萬美元年收益
.確保沒有安全漏洞,加速產品上市
重複的漏洞從 80% 減至幾乎為零
根據國際研調機構 Gartner 2022 魔力象限(Magic Quadrant)評比顯示,Fortify 再度榮獲應用程式安全性測試 AST(Application Security Testing)領導者的頭銜!以 AST 即服務交付模型進行測試,並提供多種功能,不論軟體處於正在部署、發展中或在規劃中的階段,皆可有效去除所有原始碼安全風險、檢測安全性漏洞與即時資安弱點報告,以滿足企業具體需求,並提供環境交付模式的選擇。