Hvad er Fortify SCA, og hvordan installeres det?

Af
Tweet
Share
Share
Pin

Fortify Static Code Analyzer (SCA) analyserer kildekoden og lokaliserer årsagen til sikkerhedssårbarheder.

En Fortify-scanning prioriterer de mest alvorlige problemer og guider, hvordan udviklere skal løse dem.

Fortify Static Code Analyzer

Fortify Static Code Analyzer har forskellige sårbarhedsanalysatorer såsom Buffer, Content, Control Flow, Dataflow, Semantic, Configuration og Structural. Hver af disse analysatorer accepterer en anden form for regel, der er skræddersyet til at tilbyde information, der er nødvendig for den type analyse, der udføres.

Fortify Static Code Analyzer har følgende komponenter;

  • Fortify Scan Wizard. Det er et værktøj, der tilbyder muligheder for at køre scripts efter eller før analysen.
  • Revision arbejdsbord. Det er en GUI-baseret app, der organiserer og administrerer de analyserede resultater.
  • Redaktør for tilpassede regler. Det er et værktøj, der giver udviklere mulighed for at oprette og redigere tilpassede regler til analyse.
  • Plugin til IntelliJ og Android Studio. Dette plugin giver analyseresultater inden for IDE.
  • Plugin til Eclipse. Dette værktøj er integreret med Eclipse og viser resultater inden for IDE.
  • Bambus plugin. Det er et plugin, der samler resultaterne fra Bamboo Job, der kører en analyse.
  • Jenkins plugin. Dette plugin indsamler analyseresultater fra Jenkins Job.

Funktioner i Fortify SCA

#1. Understøtter flere sprog

Nogle af de sprog, der understøttes på Fortify SCA er; ABAP/BSP, ActionScript, ASP (med VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (inklusive Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL og XML.

#2. Fleksible implementeringsmuligheder

  • Fortify On-Prem giver en organisation fuld kontrol over alle aspekter af Fortify SCA.
  • Fortify On Demand gør det muligt for udviklere at arbejde i et Software As Service-miljø.
  • Fortify Hosted giver udviklere mulighed for at nyde begge to verdener (On Demand og On-Prem) gennem et isoleret virtuelt miljø med fuld datakontrol.
  Sådan konfigureres WordPress-webstedet med hurtig indlæsning på Google Cloud?

#3. Integreres nemt med CI/CD-værktøjer

  • Udviklere kan nemt integrere Fortify SCA med store IDE’er som Visual Studio og Eclipse.
  • Udviklere har kontrol over forskellige handlinger, da værktøjet integreres med open source-værktøjer såsom Sonatype, WhiteSource, Snyk og BlackDuck.
  • Du kan også integrere Fortify SCA med fjernkodedepoter som Bitbucket og GitHub. Værktøjet kan således tjekke kode, der er skubbet til sådanne platforme, for sårbarheder og sende rapporter.

#4. Realtidsadvarsler

Du behøver ikke vente til du er færdig med kodning for at lave dine tests, da Fortify SCA giver opdateringer i realtid, mens du koder. Værktøjet har konfigurations- og strukturanalysatorer bygget til hastighed og effektivitet og hjælper dig med at producere sikre applikationer.

#5. Revisionsassistent drevet af maskinlæring

Revision af et system er hurtig ved hjælp af Audit Assistant, som bruger maskinlæringsalgoritmer. Assistenten identificerer alle sårbarhederne og prioriterer dem ud fra tillidsniveauet. Organisationer kan således spare på revisionsomkostninger, da værktøjet genererer rapporter.

#6. Fleksibilitet

Brugere kan vælge den type scanning, de vil udføre, baseret på deres behov. For eksempel, hvis du ønsker nøjagtige og detaljerede scanninger, kan du vælge den omfattende scanningsindstilling. Udviklere kan også vælge muligheden for hurtig scanning, hvis de kun ønsker at opdage større trusler.

Hvad laver Fortify SCA?

Fortify SCA har flere roller i et typisk udviklingsøkosystem. Følgende er nogle af rollerne;

Statisk test hjælper med at opbygge bedre kode

Static Application Security Testing (SAST) hjælper med at identificere sikkerhedssårbarheder i de tidlige udviklingsstadier. Heldigvis er de fleste af disse sikkerhedssårbarheder billige at rette.

En sådan tilgang reducerer sikkerhedsrisici i applikationer, da testen giver øjeblikkelig feedback på de problemer, der introduceres til kode under udviklingen.

Udviklere lærer også om sikkerhed gennem Static Application Security Testing, og de kan dermed begynde at producere sikker software.

Fortify SCA bruger en omfattende videnbase af sikre kodningsregler og flere algoritmer til at analysere kildekoden til en softwareapplikation for sikkerhedssårbarheder. Tilgangen analyserer enhver mulig vej, som data og eksekvering kan følge for at identificere sårbarheder og tilbyde løsninger.

Finder sikkerhedsproblemer tidligt

Fortify SCA efterligner en compiler. Efter en Fortify-scanning læser dette værktøj kildekodefilerne og konverterer dem til en mellemstruktur forbedret til sikkerhedsanalyse.

  12 bedste SaaS-administrationsplatforme til at reducere dine omkostninger

Alle sikkerhedssårbarheder er nemme at lokalisere i mellemformatet. Værktøjet leveres med en analysemotor, der består af flere specialiserede analysatorer, der derefter vil bruge sikre kodningsregler til at analysere, om koden overtræder nogen sikker kodningspraksis.

Fortify SCA kommer også med en regelbygger, hvis du ønsker at udvide statiske analysefunktioner og inkludere brugerdefinerede regler. Resultaterne i en sådan indstilling kan ses i forskellige formater baseret på opgaven og målgruppen.

Fortify Software Security Center (SSC) hjælper med at administrere resultater

Fortify Software Security Center (SSC) er et centraliseret administrationsarkiv, der giver synlighed til en organisations hele applikationssikkerhedsprogram. Gennem SSC kan brugere revidere, gennemgå, prioritere og administrere afhjælpningsindsatser, når sikkerhedstrusler identificeres.

Fortify SSC tilbyder et nøjagtigt omfang og billede af applikationssikkerhedspositionen i en organisation. SSC ligger på en central server, men modtager resultater fra forskellige applikationssikkerhedstestaktiviteter lige fra realtid, dynamisk til statisk analyse.

Hvilken type kodeanalyse kan Fortify SCA lave?

En forstærket scanning låner fra de ødelæggende kongerigers arkitektur, når man laver kodeanalyse. Det er disse typer analyser, som Fortify SCA laver;

  • Inputvalidering og -repræsentation – problemer forbundet med inputvalidering og -repræsentation kommer fra alternative indkodninger, numeriske repræsentationer og metategn. Eksempler på sådanne problemer er “Buffer Overflows”, “Cross-Site Scripting”-angreb og “SQL Injection”, som opstår, når brugerne har tillid til input.
  • API misbrug. Den, der ringer, undlader at overholde slutningen af ​​kontrakten, er den mest almindelige form for API-misbrug.
  • Sikkerhedsfunktioner. Denne test skelner mellem softwaresikkerhed og sikkerhedssoftware. Analysen vil fokusere på autentificering, privilegiestyring, adgangskontrol, fortrolighed og kryptografi.
  • Tid og tilstand. Computere kan skifte mellem forskellige opgaver meget hurtigt. Tids- og tilstandsanalyse søger efter defekter, der opstår fra uventede interaktioner mellem tråde, information, processer og tid.
  • Fejl. Fortify SCA vil kontrollere, om fejl giver for meget information til potentielle angribere.
  • Kodekvalitet. Dårlig kodekvalitet fører normalt til uforudsigelig adfærd. Dog kan angribere have en chance for at manipulere et program til deres fordel, hvis de støder på kode, der er dårligt skrevet.
  • Indkapsling. Dette er processen med at trække stærke grænser. En sådan analyse kan betyde, at der skelnes mellem validerede og uvaliderede data.
  Moodies til iPhone analyserer humør og følelser fra din stemme

Download og installer Fortify SCA

Før du starter installationsprocessen, skal du;

  • Tjek systemkrav fra den officielle dokumentation
  • Hent Fortify-licensfil. Vælg din pakke fra Microfocus-downloadsiden. Søg efter Fortify Static Code Analyzer, opret din konto, og få en Fortify-licensfil.

  • Sørg for, at du har Visual Studio Code installeret eller en anden understøttet kodeeditor

Sådan installeres på Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

NB: er softwareudgivelsesversionen

  • Klik på Næste efter at have accepteret licensaftalen.
  • Vælg, hvor du vil installere Fortify Static Code Analyzer, og klik på Næste.
  • Vælg de komponenter, du vil installere, og klik på Næste.
  • Angiv brugere, hvis du installerer en udvidelse til Visual Studio 2015 eller 2017.
  • Klik på Næste efter at have angivet stien til filen fortify.license.
  • Angiv de nødvendige indstillinger for at opdatere sikkerhedsindhold. Du kan bruge Fortify Rulepack-opdateringsserveren ved at angive URL’en som https://update.fortify.com. Klik på Næste.
  • Angiv, om du vil installere en eksempelkildekode. Klik på Næste.
  • Klik på Næste for at installere Fortify SCA og applikationer.
  • Klik på Opdater sikkerhedsindhold efter installation og derefter på Udfør, når installationen er udført.

Sådan installeres på Linux

Du kan følge de samme trin for at installere Fortify SCA på et Linux-baseret system. På det første trin skal du dog køre dette som installationsfilen;

Fortify_SCA_and_Apps__linux_x64.run

Du kan alternativt installere Fortify SCA ved hjælp af kommandolinjeprompten.

Åbn din terminal og kør denne kommando 

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Følg alle anvisningerne som anvist på kommandolinjen, indtil du er færdig med installationsprocessen.

Sådan kører du en Fortify-scanning

Når du er færdig med installationen, er det tid til at sætte værktøjet op til sikkerhedsanalyse.

  • Gå over til installationsmappen og naviger til bin-mappen ved hjælp af kommandoprompten.
  • Skriv scapostinstall. Du kan derefter skrive s for at få vist indstillinger.
  • Indstil lokaliteten ved hjælp af disse kommandoer;

Skriv 2 for at vælge Indstillinger.

Skriv 1 for at vælge Generelt.

Skriv 1 for at vælge Landestandard

For sprog, skriv engelsk: da for at indstille sproget som engelsk.

  • Konfigurer opdateringer af sikkerhedsindhold. Skriv 2 for at vælge Indstillinger, og skriv derefter 2 igen for at vælge Fortify Update. Du kan nu bruge Fortify Rulepack-opdateringsserveren ved at angive URL’en som https://update.fortify.com.
  • Skriv sourceanalyzer for at kontrollere, om værktøjet er fuldt installeret.

Fortify SCA kører nu i baggrunden og tjekker al din kode for sikkerhedssårbarheder.

Afslutter

Tilfælde af hackede systemer og kompromitterede data er blevet voldsomme i denne internet-æra. Heldigvis har vi nu værktøjer som Fortify Static Code Analyzer, der kan registrere sikkerhedstrusler, mens kode skrives, sende advarsler og give anbefalinger til håndtering af sådanne trusler. Fortify SCA kan øge produktiviteten og reducere driftsomkostningerne, når de bruges sammen med andre værktøjer.

Du kan også udforske Software Composition Analysis (SCA) for at forbedre din applikations sikkerhed.