什麼是源碼檢測?OpenText(Fortify)靜態與動態弱點檢測有何不同?
源碼檢測(靜態應用程式檢測)
源碼檢測又稱原始碼檢測、SAST、白箱測試、靜態應用程式檢測,是針對應用程式的原始碼進行測試與分析,找出潛在的漏洞與弱點並進行修補作業,並非檢查已完成的程式。所以建議在開發階段導入,才能大幅節省修復成本與時間。
動態應用程式檢測
而動態應用程式檢測又稱為黑箱測試、DAST,是透過模擬駭客攻擊的手法,由外而內搜索正在運行中的應用程式漏洞,當發現有漏洞時會自動發送警訊,因此可檢測出靜態應用程式安全測試工具無法識別的缺陷。
應用程式安全檢測對法規的重要性
全球數位化趨勢加劇網路安全風險,促使企業資安防護開始受到外部法規要求。公家機關、金融機構及上市櫃公司陸續面臨需執行源碼檢測、動態應用程式檢測的要求,以確保程式及網頁的安全性。Fortify SCA 與 WebInspect 能協助各行業符合以下規範:
| 金融業 | 製造業 | 半導體業 | 政府單位 | 企業 |
|---|---|---|---|---|
|
|
SEMI E187 | 行政院資通安全管理法 |
證交所上市上櫃公司資通安全 管控指引 |
Fortify 原始碼/網站檢測 找出漏洞落實資安防護
Fortify 提供全方位的原始碼/網站檢測解決方案,包含:
靜態應用程式安全測試 SAST
(Static Application Security Testing)
動態應用系統安全測試 DAST
(Dynamic Application Security Testing)
互動式應用系統安全測試 IAST
(Interactive Application Security Testing)
程式執行階段自我保護 RASP
(Runtime Application Self-Protection)
運用 Fortify SCA(Static Code Analyzer)靜態原始碼檢測分析工具與 WebInspect 動態應用程式檢測工具進行測試與分析,找出程式碼或網站中的安全弱點與資安漏洞產出報告,深入目前企業資安威脅,並對應到此問題所在的程式碼行數,讓 IT、開發及資安人員能快速修復安全弱點,確保原始碼(source code)及網站安全無虞。亦可針對開發、品質保證(Quality Assurance,QA)或生產環境中執行的程式安全應用,迅速鑑別和驗證其中的重大高風險資安漏洞,杜絕惡意程式攻擊 360 度全方位守護企業資安並且降低維運成本。
- 快速找到資安弱點與漏洞位置
- 指出安全弱點詳情,並提供修復建議
- 節省程式開發及弱點修復的成本
- 確保系統上線服務的安全性
- 使用全面的攻擊場景模擬方式,檢測運行中的網站和 web 服務安全漏洞
- 協助驗證一個特定的程式漏洞,在實務上是否可以被利用的資安漏洞
- 協助確認資訊安全問題所在與發生原因,加快軟體程式修復速度
OpenText SAST 26.1:AI 驅動 DevSecOps 效率全新升級
2026 年為什麼企業需要這個全新組合?
由 OpenText SAST 26.1 負責找出所有潛在風險,再交由 Application Security Aviator 利用 AI 進行過濾與修復建議,讓資安與開發團隊不再對立。
全新的 AI 分析器可結合企業內部 LLM(Large Language Model;大型語言模型),讓安全團隊能即時跟上新興技術與開發語言,強化整體 DevSecOps 韌性。
支援 Xcode 26.1.1,確保在最新的 Apple 開發環境中實現無縫的安全分析。
支援 Python 3.14,與最新的 Python 生態系統改進保持同步。
為了確保與這些快速發展領域中的最新 API 變更相容,以下程式庫已進行更新:OpenAI、LangChain。
新增 SAP ABAP 與 .NET 核心系統進階偵測規則,並全面優化大型專案掃描效能,告別卡頓,讓 DevSecOps 流程更流暢高效。
AI 驅動 Application Security Aviator 的五大效益
憑藉逾 10 年的人工智慧(Artificial Intelligence,AI)與大型語言模型(Large Language Model,LLM)專業經驗,OpenText 推出 Application Security Aviator。透過專業訓練的 LLM 與 AI 技術,精準識別真正漏洞、降低誤報率,並將平均修復時間(MTTR)從數天縮短至數小時,有效緩解軟體開發延遲壓力。
應用 AI 識別真正的漏洞
藉助清楚的解釋和高可信度的抑制功能,
減少誤報,幫助團隊減少審核時間,
將更多時間用於程式碼修復。
AI 分析消除安全積壓
利用 AI 程式碼分析,提供的程式碼修復建議,
減少開發人員修復程式碼安全性問題所花費的時間。
AI 減少程式碼修復摩擦
將 AI 程式碼修復建議無縫融入
開發人員的工作流程,實現順暢體驗。
提升開發人員的生產力與安全開發能力
在開發人員的程式碼上下文和他們理解的術語下,
審核並解釋安全問題。
在流程中加入隨即可用的開發者修復指南
將清楚的上下文解說和程式碼級別建議直接映射到每個檢測結果,
並寫回您的 OpenText 應用程式安全工作流程,無需學習新的用戶界面。
Fortify 源碼檢測工具 從源頭去除資安弱點
- 找出已部署軟體,目前有哪些軟體安全問題
- 減少自行開發中或向供應商採購中的軟體風險
- 滿足遵守內部安全規範或外部安全法的目標
- 儀表板提供檢測結果的即時可視性與互動操作
- 自動化檢測流程修復經驗可以重複分享
- 主動式軟體安全管理,軟體可安全導入到所有軟體開發的流程中
- 整合業界的 QA、軟體開發環境(Integrated Development Environment,IDE)工具與臭蟲追蹤系統,加快漏洞修復
解決多數「應用程式」含有高風險弱點
75% 的駭客攻擊來自應用程式
92% 可利用的安全弱點是在軟體程式中
80% web 應用程式至少含有一個重大或高危險性弱點
駭客與犯罪集團擅長利用軟體資安漏洞進行竊取各項資料,包括客戶身分資料、訂單、智慧財產及現金,或是發起各種攻擊,中斷企業的營運,進而損害企業形象,並讓企業員工、客戶和公眾限於風險之中。
支援 44+ 種主流開發語言與 AI 框架
| 技術分類 | 支援之程式語言與開發框架 | 核心價值/適用說明 |
|---|---|---|
| AI 與數據處理、運算 | Python、Go(GoLang)、R、Julia、Rust、Elixir、Erlang | 全面守護現代 AI 模型建置、機器學習與大語言模型(LLM)應用的安全核心。 |
| 現代 Web 與行動開發 | TypeScript、JavaScript/AJAX、HTML、XML、PHP、Ruby、Scala、Swift、Lua、Java(Android) | 完美覆蓋現代化前後端分離架構與高效能雙平台 App(iOS/Android)開發安全。 |
| 微軟與企業核心體系 | C#(.NET)、ASP.NET、VB.NET、Visual Basic、VBScript、Classic ASP、C/C++、PowerShell、Bash、Groovy、Perl、Ada | 針對複雜、龐大等大型企業最核心的系統疑難與基礎架構,提供無縫的資安防護。 |
| 經典與特定企業系統 | SAP ABAP/BSP、COBOL、PL/SQL、T-SQL、JSP、Apex、ColdFusion CFML、MXML(Flex)、Delphi | 持續支援企業既有系統與核心資料庫,確保轉型期間新舊技術無資安死角。 |
Fortify 全方位、跨世代的安全守護者
AI 與數據處理、運算
現代 Web 與行動開發
雲端原生與容器安全
持續支援企業系統
Fortify SCA 的五大優勢
強化您的 AppSec 應用程式安全程序
以快速與高度最佳化的靜態掃描來保護自訂與開放原始程式碼。能為軟體開發生命週期提供準確、快速和自動的應用程序安全解決方案。
Fortify 具體導入效益
減少尋找及修復軟體中的漏洞問題的時間
從原本 2 週到 1 小時
降低開發,維復及遵守法規的相關成本
平均每年節省約 380 萬美元
自動化的應用程式安全流程提升生產力
高達 3,700 萬美元年收益
確保沒有安全漏洞,加速產品上市
重複的漏洞從 80% 減至幾乎為零
























