Fortify是Micro Focus旗下AST （應(yīng)用程序安全測(cè)試）產(chǎn)品 [1]  ，其產(chǎn)品組合包括：Fortify Static Code Analyzer提供靜態(tài)代碼分析器（SAST），F(xiàn)ortify WebInspect是動(dòng)態(tài)應(yīng)用安全測(cè)試軟件（DAST），Software Security Center是軟件安全中心（SSC）和 Application Defender 是實(shí)時(shí)應(yīng)用程序自我保護(hù)（RASP）。

Fortify 能夠提供靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試技術(shù)，以及運(yùn)行時(shí)應(yīng)用程序監(jiān)控和保護(hù)功能。為實(shí)現(xiàn)高效安全監(jiān)測(cè)，F(xiàn)ortify具有源代碼安全分析，可精準(zhǔn)定位漏洞產(chǎn)生的路徑，以及具有1分鐘1萬(wàn)行的掃描速度。

Fortify Static Code Analyzer

Fortify SCA 是一款靜態(tài)應(yīng)用程序安全性測(cè)試(SAST) 產(chǎn)品，可供開(kāi)發(fā)團(tuán)隊(duì)和安全專(zhuān)家分析源代碼，檢測(cè)安全漏洞。該功能可檢查代碼，能夠幫助開(kāi)發(fā)人員更快更輕松地識(shí)別問(wèn)題并排定問(wèn)題優(yōu)先級(jí)，然后加以解決。

Fortify SCA 可助力開(kāi)發(fā)人員：

■ 提前并經(jīng)常性地掃描源代碼

■ 將漏洞的根本原因鎖定到代碼行

■ 關(guān)聯(lián)結(jié)果并對(duì)其進(jìn)行優(yōu)先級(jí)排序

■ 加快開(kāi)發(fā)速度并縮短

■ 快速修復(fù)安全漏洞

■ 審視最佳實(shí)踐，幫助開(kāi)發(fā)人員以更安全的方式進(jìn)行編碼

什么是靜態(tài)代碼分析？

靜態(tài)代碼分析可有效識(shí)別源代碼中的安全漏洞。靜態(tài)代碼分析應(yīng)當(dāng)在開(kāi)發(fā)生命周期 的前期完成，并且應(yīng)持續(xù)貫穿應(yīng)用程序的 整個(gè)生命周期。它能夠在開(kāi)發(fā)過(guò)程中就代 碼中出現(xiàn)的問(wèn)題快速向開(kāi)發(fā)人員提供反饋。

為何 Fortify SCA 非常適合您

全面

Fortify SCA 支持豐富的開(kāi)發(fā)環(huán)境、語(yǔ)言、平臺(tái)和框架，可對(duì)開(kāi)發(fā)與生產(chǎn)混合環(huán)境進(jìn)行安全檢查。

■ 25 種編程語(yǔ)言

■ 超過(guò) 911,000 個(gè)組件級(jí) API

■ 可檢測(cè)超過(guò) 961 個(gè)漏洞類(lèi)別

■ 支持所有主流平臺(tái)、構(gòu)建環(huán)境和IDE

統(tǒng)計(jì)信息

■ 超過(guò) 84% 的安全漏洞發(fā)生在應(yīng)用程序?qū)?sup>①

■ 重大 Web 安全漏洞可影響近乎半數(shù)的 Web 應(yīng)用程序^②

■ 52% 的 Web 應(yīng)用程序會(huì)遇到輸入驗(yàn)證、跨站點(diǎn)腳本編寫(xiě)和 SQL 注入等問(wèn)題^③

■ 33% 的應(yīng)用程序從未經(jīng)過(guò)安全漏洞測(cè)試^④

① Gartner 魔力象限報(bào)告

② Micro Focus 網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告

③ 同上

④ 調(diào)研：未進(jìn)行安全性投資的移動(dòng)應(yīng)用程序開(kāi)發(fā)人員

準(zhǔn)確

Fortify SCA 可提供準(zhǔn)確的結(jié)果，并且能檢測(cè)出大量其他靜態(tài)測(cè)試技術(shù)所無(wú)法檢測(cè)的問(wèn)題。Fortify SCA 可對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序， 從而提供準(zhǔn)確的操作計(jì)劃，交付已按風(fēng)險(xiǎn)劃分等級(jí)和分類(lèi)的問(wèn)題。該產(chǎn)品遵循由Micro Focus? Security Fortify 軟件安全研究團(tuán)隊(duì)擴(kuò)展和更新的一套最大且最全面的安全編碼規(guī)則。

靈活

Fortify SCA 可融入您的現(xiàn)有開(kāi)發(fā)環(huán)境。它是一款靈活的命令行靜態(tài)代碼分析器，可通過(guò)腳本、插件和 GUI  工具集成到任何環(huán)境，便于開(kāi)發(fā)人員快速輕松地啟動(dòng)運(yùn)行。

高效

那些需要加速實(shí)現(xiàn)應(yīng)用程序安全計(jì)劃的組織將從更短的掃描時(shí)間中獲益淺。Fortify SCA 可通過(guò)提供增量掃描，幫助開(kāi)發(fā)人員提升編程效率。通過(guò)只分析自上一次完整掃描之后變更的代碼部分，增量掃描可縮短運(yùn)行掃描所需的時(shí)間。這將顯著縮短掃描時(shí)間，從而讓開(kāi)人員加速獲得結(jié)果，該產(chǎn)品還能通過(guò)支持更加頻繁的掃描來(lái)提高工作效率，并可以更快地將軟件投入到生產(chǎn)當(dāng)中。

可擴(kuò)展

由于應(yīng)用程序來(lái)自于公司內(nèi)部、外包、第三方、開(kāi)源、移動(dòng)等多個(gè)來(lái)源，再加上這些應(yīng)用程序具有驚人的數(shù)目和復(fù)雜性，因此想要測(cè)試并保持企業(yè)中的所有這些應(yīng)用程序類(lèi)型的安全無(wú)虞便顯得困難重重。Fortify SCA 支持業(yè)內(nèi)大部分編程語(yǔ)言，能夠識(shí)別所有類(lèi)型應(yīng)用程序中的風(fēng)險(xiǎn)，并可根據(jù)不斷增長(zhǎng)的企業(yè)需求進(jìn)行擴(kuò)展。

內(nèi)部部署或按需部署

Fortify SCA 能夠以多種交付模式運(yùn)行，旨在適應(yīng)不斷變化的需求和要求。

■ 內(nèi)部部署 — 適用于部署、管理及現(xiàn)場(chǎng)運(yùn)行靜態(tài)應(yīng)用程序安全性測(cè)試計(jì)劃的Fortify SCA。

■ 按需部署 — Fortify on Demand 是一項(xiàng)托管應(yīng)用程序安全性測(cè)試服務(wù)，它能 以一種簡(jiǎn)單、準(zhǔn)確的方式啟動(dòng)靜態(tài)、 動(dòng)態(tài)和移動(dòng)測(cè)試，同時(shí)無(wú)需前期投資、額外的資源和時(shí)間

支持的語(yǔ)言

■ ABAP/BSP

■ ActionScript/MXML (Flex)

■ ASP.NET、VB.NET、C# (.NET)

■ C/C++

■ Classic ASP （帶 VBScript） COBOL

■ ColdFusion CFML

■ HTML

■ Java（包括 Android）

■ JavaScript/AJAX

■ JSP

■ Objective-C

■ PHP

■ PL/SQL

■ Python

■ T-SQL

■ Ruby

■ Swift

■ Visual Basic

■ VBScript

■ XML

■ Scala

支持的IDE

■ Eclipse

■ IntelliJ Ultimate

■ IntelliJ Community Android Studio

■ IBM Rational Application Developer (RAD)

■ IBM Rational Software Architect (RSA)

■ Microsoft Visual Studio

支持的構(gòu)建工具

■ Ant

■ Jenkins

■ Maven

■ MSBuild

■ Xcodebuild

Fortify 的軟件安全漏洞分類(lèi)

漏洞類(lèi)別

談到軟件安全，目前對(duì)何謂重大漏洞尚沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。眾多組織都發(fā)布了自己對(duì)嚴(yán)重漏洞的解讀，這導(dǎo)致對(duì)標(biāo)準(zhǔn)產(chǎn)生了認(rèn)知差異和疑惑。為了幫助開(kāi)發(fā)人員了解導(dǎo)致安全漏洞的常見(jiàn)編碼錯(cuò)誤類(lèi)型，F(xiàn)ortify 編寫(xiě)了軟件開(kāi)發(fā)七宗罪（The Seven Pernicious Kingdoms），在其中統(tǒng)一了漏洞的組織分類(lèi)，并將它們對(duì)應(yīng)到 OWASP、SANS、CWE 和 FISMA 等標(biāo)準(zhǔn)中。

作為一家業(yè)界公認(rèn)的頂尖安全組織，F(xiàn)ortify 安全研究團(tuán)隊(duì)是一支監(jiān)控新型威脅全球團(tuán)隊(duì)。他們會(huì)以漏洞檢查的形式將收集到的知識(shí)輸送到 Micro Focus Security Fortify 產(chǎn)品套件中，確保及時(shí)檢測(cè)出最新的威脅。該團(tuán)隊(duì)創(chuàng)建了一套漏洞類(lèi)別分類(lèi)規(guī)則，力求幫助開(kāi)發(fā)人員了解各種影響應(yīng)用程序的安全漏洞。