Fortifi Static Code Analyzer (SCA) анализирует исходный код и обнаруживает основную причину уязвимостей в системе безопасности.
Fortify Scan выделяет наиболее серьезные проблемы и сообщает разработчикам, как их исправить.
Содержание
Анализатор статического кода Fortify
Fortifi Static Code Analyzer имеет различные анализаторы уязвимостей, такие как буфер, содержимое, поток управления, поток данных, семантика, конфигурация и структура. Каждый из этих анализаторов принимает различные типы правил, предназначенных для предоставления информации, необходимой для типа выполняемого анализа.
Fortifi Static Code Analyzer состоит из следующих компонентов:
- Усилить мастер сканирования. Это инструмент, который предлагает варианты запуска сценариев после или до анализа.
- Ревизионный стол. Это приложение с графическим интерфейсом, которое организует результаты анализа и управляет ими.
- Редактор пользовательских правил. Это инструмент, который позволяет разработчикам создавать и редактировать собственные правила анализа.
- Плагин для IntelliJ и Android Studio. Этот плагин предоставляет результаты анализа в среде IDE.
- Плагин для Эклипса. Этот инструмент интегрирован с Eclipse и отображает результаты в среде IDE.
- Бамбуковый плагин. Это плагин, который собирает результаты Bamboo Job, выполняющего анализ.
- Плагин Дженкинс. Этот плагин собирает результаты анализа задания Jenkins.
Особенности Fortify SCA
№1. Он поддерживает несколько языков
Некоторые из языков, поддерживаемых Fortifi SCA: ABAP/BSP, ActionScript, ASP (с VBScript), COBOL, ColdFusion, Apek, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (включая Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SKL, Python, Ruby, Swift, T-SQL и XML.
№ 2. Гибкие варианты развертывания
- Fortifi On-Prem дает организации полный контроль над всеми аспектами Fortifi SCA.
- Fortifi On Demand позволяет разработчикам работать в среде «программное обеспечение как услуга».
- Fortify Hosted позволяет разработчикам пользоваться обоими мирами (On Demand и On-Prem) через изолированную виртуальную среду с полным контролем данных.
№3. Легко интегрируется с инструментами CI/CD
- Разработчики могут легко интегрировать Fortifi SCA с основными IDE, такими как Visual Studio и Eclipse.
- Разработчики могут контролировать различные действия, поскольку инструмент интегрируется с инструментами с открытым исходным кодом, такими как Sonatype, WhiteSource, Snik и BlackDuck.
- Вы также можете интегрировать Fortify SCA с удаленными репозиториями кода, такими как Bitbucket и GitHub. Таким образом, инструмент может проверять код, отправленный на такие платформы, на наличие уязвимостей и отправлять отчеты.
№ 4. Оповещения в реальном времени
Вам не нужно ждать, пока вы закончите писать код, чтобы запустить тесты, потому что Fortify SCA предоставляет обновления в режиме реального времени по мере написания кода. Инструмент имеет анализаторы конфигурации и структуры, созданные для скорости и эффективности, и помогает создавать безопасные приложения.
№ 5. Помощник по аудиту на основе машинного обучения
Аудит системы выполняется быстро с помощью Ассистента аудита, который использует алгоритмы машинного обучения. Помощник выявляет все уязвимости и расставляет приоритеты на основе уровня доверия. Таким образом, организации могут сэкономить на расходах на аудит, поскольку инструмент генерирует отчеты.
№ 6. Гибкость
Пользователи могут выбрать тип сканирования, который они хотят выполнить, исходя из своих потребностей. Например, если вам нужны точные и подробные сканы, вы можете выбрать вариант комплексного сканирования. Разработчики также могут выбрать вариант быстрого сканирования, если они хотят обнаруживать только крупные угрозы.
Что делает Fortifi SCA?
Fortifi SCA играет несколько ролей в типичной экосистеме разработки. Ниже приведены некоторые роли;
Статическое тестирование помогает создавать лучший код
Статическое тестирование безопасности приложений (SAST) помогает выявить уязвимости безопасности на ранних этапах разработки. К счастью, большинство этих недостатков безопасности можно исправить недорого.
Такой подход снижает риски безопасности в приложениях, поскольку тестирование обеспечивает немедленную обратную связь о проблемах, возникших в коде во время разработки.
Разработчики также узнают о безопасности посредством статического тестирования безопасности приложений и могут начать создавать безопасное программное обеспечение.
Fortify SCA использует обширную базу знаний о правилах безопасного кодирования и множестве алгоритмов для анализа исходного кода программных приложений на наличие уязвимостей в системе безопасности. Подход анализирует все возможные пути, по которым могут следовать данные и выполнение, чтобы выявить уязвимости и предложить способы устранения.
Раннее обнаружение проблем с безопасностью
Fortify SCA эмулирует компилятор. После сканирования Fortifi этот инструмент считывает файлы исходного кода и преобразует их в промежуточную структуру, улучшенную для анализа безопасности.
Все уязвимости безопасности легко найти в среднем формате. Инструмент поставляется с механизмом анализа, состоящим из нескольких специализированных анализаторов, которые затем будут использовать правила безопасного кодирования для анализа того, нарушает ли код какие-либо правила безопасного кодирования.
Fortifi SCA также поставляется с построителем правил, если вы хотите расширить возможности статического анализа и включить настраиваемые правила. Результаты в такой среде можно просматривать в разных форматах в зависимости от задачи и аудитории.
Центр безопасности Fortify Software (SSC) помогает управлять результатами
Центр безопасности Fortify Software (SSC) — это централизованный репозиторий управления, обеспечивающий обзор всей программы безопасности организации. С помощью SSC пользователи могут проводить аудит, обзор, расставлять приоритеты и управлять усилиями по исправлению при обнаружении угроз безопасности.
Fortifi SSC предоставляет точную картину состояния безопасности приложений в организации. SSC находится на центральном сервере, но получает результаты различных действий по тестированию безопасности приложений, от динамического до статического анализа в реальном времени.
Какой тип анализа кода может выполнять Fortify SCA?
Усиление сканирования поддается архитектуре пагубных королевств при анализе кода. Это типы анализа, которые выполняет Fortifi SCA;
- Проверка и представление входных данных. Проблемы, связанные с проверкой и представлением входных данных, связаны с альтернативными кодировками, числовыми представлениями и метасимволами. Примерами таких проблем являются «переполнение буфера», атаки «перекрестного сценария» и «инъекция SQL», которые происходят, когда пользователи доверяют входным данным.
- Злоупотребление API. Вызывающий абонент, не выполняющий свою часть контракта, является наиболее распространенным типом злоупотребления API.
- Функции безопасности. Этот тест различает безопасность программного обеспечения и программное обеспечение безопасности. Анализ будет сосредоточен на вопросах аутентификации, управления привилегиями, контроля доступа, конфиденциальности и криптографии.
- Время и страна. Компьютеры могут очень быстро переключаться между различными задачами. Анализ времени и состояния ищет дефекты, возникающие из-за неожиданного взаимодействия между потоками, информацией, процессами и временем.
- Ошибки. Fortify SCA проверит, не дают ли ошибки слишком много информации потенциальным злоумышленникам.
- Качество кода. Плохое качество кода обычно приводит к непредсказуемому поведению. Однако у злоумышленников может быть возможность манипулировать приложением в своих интересах, если они столкнутся с плохо написанным кодом.
- Инкапсуляция. Это процесс установления жестких границ. Такой анализ может означать разграничение проверенных и непроверенных данных.
Загрузите и установите Fortifi SCA.
Перед началом процесса установки необходимо;
- Проверьте системные требования из официальной документации
- Загрузите файл лицензии Fortifi. Выберите свой пакет на странице загрузки Microfocus. Найдите Fortifi Static Code Analyzer, создайте учетную запись и загрузите файл лицензии Fortifi.
- Убедитесь, что у вас установлен Visual Studio Code или другой поддерживаемый редактор кода.
Как установить на Windows
Fortify_SCA_and_Apps__windows_x64.exe
Примечание: версия программного обеспечения
- Нажмите «Далее» после принятия лицензионного соглашения.
- Выберите место для установки Fortifi Static Code Analyzer и нажмите «Далее».
- Выберите компоненты, которые хотите установить, и нажмите «Далее».
- Укажите пользователей, если вы устанавливаете расширение для Visual Studio 2015 или 2017.
- Нажмите «Далее» после указания пути к файлу fortifi.license.
- Укажите параметры, необходимые для обновления содержимого безопасности. Вы можете использовать сервер обновлений Fortifi Rulepack, указав URL-адрес как https://update.fortifi.com. Нажмите «Далее.
- Укажите, хотите ли вы установить образец исходного кода. Нажмите «Далее.
- Нажмите «Далее», чтобы установить Fortifi SCA и приложения.
- Нажмите Обновить содержимое безопасности после установки, а затем нажмите Готово, когда установка будет завершена.
Как установить на линукс
Вы можете выполнить те же действия, чтобы установить Fortify SCA в системе на базе Linux. Однако в качестве первого шага запустите его как установочный файл;
Fortify_SCA_and_Apps__linux_x64.run
В качестве альтернативы вы можете установить Fortify SCA с помощью командной строки.
Откройте свой терминал и запустите эту команду
./Fortify_SCA_and_Apps__linux_x64.run --mode text
Следуйте всем подсказкам в командной строке, пока не завершите процесс установки.
Как запустить сканирование Fortify
Когда вы закончите установку, пришло время настроить инструмент сканирования безопасности.
- Перейдите в каталог установки и перейдите в папку bin с помощью командной строки.
- Введите scapostinstall. Затем вы можете ввести s, чтобы отобразить настройки.
- Установите локаль с помощью этих команд;
Введите 2, чтобы выбрать Настройки.
Введите 1, чтобы выбрать Общие.
Введите 1, чтобы выбрать Локальный
В поле «Язык» введите English: en, чтобы установить английский язык.
- Настройте обновления содержимого безопасности. Введите 2, чтобы выбрать «Настройки», затем снова введите 2, чтобы выбрать «Обновление Fortify». Теперь вы можете использовать сервер обновлений Fortifi Rulepack, указав URL-адрес как https://update.fortifi.com.
- Введите sourceanalyzer, чтобы убедиться, что инструмент полностью установлен.
Теперь Fortifi SCA будет работать в фоновом режиме и проверять весь ваш код на наличие уязвимостей в системе безопасности.
Концовка
Случаи взлома системы и компрометации данных стали более распространенными в эпоху Интернета. К счастью, теперь у нас есть такие инструменты, как анализатор статического кода Fortify, который может обнаруживать угрозы безопасности во время написания кода, отправлять предупреждения и давать рекомендации по устранению таких угроз. Fortify SCA может повысить производительность и снизить эксплуатационные расходы при использовании с другими инструментами.
Вы также можете изучить анализ состава программного обеспечения (SCA), чтобы повысить безопасность своего приложения.