Что такое Fortify SCA и как его установить?

Опубликовано: 2023-01-13

Fortify Static Code Analyzer (SCA) анализирует исходный код и выявляет основные причины уязвимостей безопасности.

Сканирование Fortify отдает приоритет наиболее серьезным проблемам и указывает, как разработчики должны их исправить.

Анализатор статического кода Fortify

Fortify Static Code Analyzer имеет различные анализаторы уязвимостей, такие как буфер, содержимое, поток управления, поток данных, семантика, конфигурация и структура. Каждый из этих анализаторов принимает различные правила, предназначенные для предоставления информации, необходимой для типа выполняемого анализа.

Fortify-Static-Code-Analyzer

Fortify Static Code Analyzer состоит из следующих компонентов:

  • Усилить мастер сканирования. Это инструмент, который предлагает варианты запуска сценариев после или до анализа.
  • Аудиторское рабочее место. Это приложение с графическим интерфейсом, которое упорядочивает анализируемые результаты и управляет ими.
  • Редактор пользовательских правил. Это инструмент, который позволяет разработчикам создавать и редактировать собственные правила для анализа.
  • Плагин для IntelliJ и Android Studio. Этот плагин предоставляет результаты анализа в среде IDE.
  • Плагин для Эклипса. Этот инструмент интегрирован с Eclipse и отображает результаты в среде IDE.
  • Бамбуковый плагин. Это плагин, который собирает результаты Bamboo Job, выполняющего анализ.
  • Плагин Дженкинс. Этот плагин собирает результаты анализа Jenkins Job.

Особенности Fortify SCA

Особенности-of-Fortify-SCA-

№1. Поддерживает несколько языков

Некоторые из языков, поддерживаемых Fortify SCA: ABAP/BSP, ActionScript, ASP (с VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (включая Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL и XML.

№ 2. Гибкие варианты развертывания

  • Fortify On-Prem позволяет организации полностью контролировать все аспекты Fortify SCA.
  • Fortify On Demand позволяет разработчикам работать в среде «программное обеспечение как услуга».
  • Fortify Hosted позволяет разработчикам пользоваться обоими мирами (по требованию и локально) через изолированную виртуальную среду с полным контролем данных.

№3. Легко интегрируется с инструментами CI/CD

  • Разработчики могут легко интегрировать Fortify SCA с основными IDE, такими как Visual Studio и Eclipse.
  • Разработчики могут контролировать различные действия, поскольку инструмент интегрируется с инструментами с открытым исходным кодом, такими как Sonatype, WhiteSource, Snyk и BlackDuck.
  • Вы также можете интегрировать Fortify SCA с удаленными репозиториями кода, такими как Bitbucket и GitHub. Таким образом, инструмент может проверять код, отправленный на такие платформы, на наличие уязвимостей и отправлять отчеты.

№ 4. Оповещения в реальном времени

Вам не нужно ждать, пока вы закончите писать код, чтобы выполнить тесты, так как Fortify SCA предоставляет обновления в режиме реального времени по мере написания кода. Инструмент имеет анализаторы конфигурации и структуры, созданные для скорости и эффективности, и помогает создавать безопасные приложения.

№ 5. Помощник по аудиту на основе машинного обучения

Аудит системы выполняется быстро с помощью помощника по аудиту, который использует алгоритмы машинного обучения. Помощник выявляет все уязвимости и расставляет приоритеты на основе уровня достоверности. Таким образом, организации могут сэкономить на расходах на аудит, поскольку инструмент генерирует отчеты.

№ 6. Гибкость

Пользователи могут выбрать тип сканирования, который они хотят провести, исходя из своих потребностей. Например, если вам нужны точные и подробные сканы, вы можете выбрать вариант комплексного сканирования. Разработчики также могут выбрать параметр быстрого сканирования, если они хотят обнаруживать только основные угрозы.

Что делает Fortify SCA?

Что делает Fortify-SCA

Fortify SCA играет несколько ролей в типичной экосистеме разработки. Ниже приведены некоторые роли;

Статическое тестирование помогает создавать лучший код

Статическое тестирование безопасности приложений (SAST) помогает выявить уязвимости безопасности на ранних этапах разработки. К счастью, большинство этих уязвимостей в безопасности можно исправить недорого.

Такой подход снижает риски безопасности в приложениях, поскольку тестирование обеспечивает немедленную обратную связь по проблемам, возникшим в коде во время разработки.

Разработчики также узнают о безопасности с помощью статического тестирования безопасности приложений и, таким образом, могут начать создавать безопасное программное обеспечение.

Fortify SCA использует обширную базу знаний правил безопасного кодирования и нескольких алгоритмов для анализа исходного кода программного приложения на предмет уязвимостей безопасности. Подход анализирует любой возможный путь, по которому могут следовать данные и выполнение, чтобы выявить уязвимости и предложить способы устранения.

Раннее обнаружение проблем с безопасностью

Fortify SCA имитирует компилятор. После сканирования Fortify этот инструмент считывает файлы исходного кода и преобразует их в промежуточную структуру, улучшенную для анализа безопасности.

Все уязвимости безопасности легко найти в промежуточном формате. Инструмент поставляется с механизмом анализа, состоящим из нескольких специализированных анализаторов, которые затем будут использовать правила безопасного кодирования для анализа того, нарушает ли код какие-либо правила безопасного кодирования.

Fortify SCA также поставляется с построителем правил, если вы хотите расширить возможности статического анализа и включить настраиваемые правила. Результаты в такой настройке можно просматривать в разных форматах в зависимости от задачи и аудитории.

Fortify Software Security Center (SSC) помогает управлять результатами

Fortify Software Security Center (SSC) — это централизованный репозиторий управления, обеспечивающий видимость всей программы безопасности приложений организации. С помощью SSC пользователи могут проводить аудит, обзор, расставлять приоритеты и управлять усилиями по устранению проблем при обнаружении угроз безопасности.

Fortify SSC предлагает точную картину состояния безопасности приложений в организации. SSC находится на центральном сервере, но получает результаты различных действий по тестированию безопасности приложений, от динамического до статического анализа в реальном времени.

Какой тип анализа кода может выполнять Fortify SCA?

Какой-тип-анализа-кода-может-делать-Fortify-SCA

Укрепляющее сканирование заимствует архитектуру пагубных королевств при анализе кода. Это типы анализа, которые выполняет Fortify SCA;

  • Проверка ввода и представление . Проблемы, связанные с проверкой ввода и представлением, возникают из-за альтернативных кодировок, числовых представлений и метасимволов. Примерами таких проблем являются «переполнение буфера», атаки «межсайтовый скриптинг» и «инъекция SQL», которые возникают, когда пользователи доверяют входным данным.
  • Злоупотребление API. Вызывающая сторона, не соблюдающая окончание контракта, является наиболее распространенным типом злоупотребления API.
  • Функции безопасности. Этот тест различает безопасность программного обеспечения и программное обеспечение безопасности. Анализ будет сосредоточен на вопросах аутентификации, управления привилегиями, контроля доступа, конфиденциальности и криптографии.
  • Время и состояние. Компьютеры могут очень быстро переключаться между различными задачами. Анализ времени и состояния ищет дефекты, возникающие из-за неожиданных взаимодействий между потоками, информацией, процессами и временем.
  • Ошибки. Fortify SCA проверит, не дают ли ошибки слишком много информации потенциальным злоумышленникам.
  • Качество кода. Плохое качество кода обычно приводит к непредсказуемому поведению. Однако у злоумышленников может быть шанс манипулировать приложением в своих интересах, если они наткнутся на плохо написанный код.
  • Инкапсуляция. Это процесс установления прочных границ. Такой анализ может означать разграничение проверенных и непроверенных данных.

Скачайте и установите Fortify SCA

Перед началом процесса установки необходимо;

  • Проверьте системные требования из официальной документации
  • Получите файл лицензии Fortify. Выберите свой пакет на странице загрузок Microfocus. Найдите Fortify Static Code Analyzer, создайте свою учетную запись и получите файл лицензии Fortify.
скачать
  • Убедитесь, что у вас установлен Visual Studio Code или другой поддерживаемый редактор кода.

Как установить на Windows

  • Запустите установочный файл
 Fortify_SCA_and_Apps_<version>_windows_x64.exe

NB: <версия> — это версия выпуска программного обеспечения.

  • Нажмите « Далее » после принятия лицензионного соглашения.
  • Выберите место для установки анализатора статического кода Fortify и нажмите « Далее».
  • Выберите компоненты, которые хотите установить, и нажмите « Далее».
  • Укажите пользователей, если вы устанавливаете расширение для Visual Studio 2015 или 2017.
  • Нажмите « Далее » после указания пути к файлу fortify.license .
  • Укажите параметры, необходимые для обновления содержимого безопасности. Вы можете использовать сервер обновлений Fortify Rulepack, указав URL-адрес как https://update.fortify.com. Нажмите «Далее» .
  • Укажите, хотите ли вы установить образец исходного кода. Нажмите «Далее» .
  • Нажмите «Далее», чтобы установить Fortify SCA и приложения.
  • Нажмите « Обновить содержимое безопасности после установки», а затем « Готово » после завершения установки.

Как установить на линукс

Вы можете выполнить те же действия, чтобы установить Fortify SCA в системе на базе Linux. Однако на первом этапе запустите его как файл установщика;

 Fortify_SCA_and_Apps__linux_x64.run

Вы также можете установить Fortify SCA с помощью командной строки.

Откройте свой терминал и запустите эту команду

 ./Fortify_SCA_and_Apps__linux_x64.run --mode text

Следуйте всем подсказкам в командной строке, пока не завершите процесс установки.

Как запустить сканирование Fortify

Как запустить сканирование Fortify

После завершения установки пришло время настроить инструмент для анализа безопасности.

  • Перейдите в каталог установки и перейдите в папку bin с помощью командной строки.
  • Введите scapostinstall. Затем вы можете ввести s для отображения настроек.
  • Настройте локаль с помощью этих команд;

Введите 2, чтобы выбрать Настройки.

Введите 1, чтобы выбрать Общие.

Введите 1, чтобы выбрать локаль

В качестве языка введите English: en , чтобы установить английский язык.

  • Настройте обновления содержимого безопасности. Введите 2, чтобы выбрать «Настройки», а затем снова введите 2, чтобы выбрать «Обновление Fortify». Теперь вы можете использовать сервер обновлений Fortify Rulepack, указав URL-адрес как https://update.fortify.com.
  • Введите sourceanalyzer , чтобы проверить, полностью ли установлено средство.

Теперь Fortify SCA будет работать в фоновом режиме и проверять весь ваш код на наличие уязвимостей в системе безопасности.

Подведение итогов

Случаи взлома систем и компрометации данных стали безудержными в эпоху Интернета. К счастью, теперь у нас есть такие инструменты, как Fortify Static Code Analyzer, которые могут обнаруживать угрозы безопасности во время написания кода, отправлять предупреждения и давать рекомендации по устранению таких угроз. Fortify SCA может повысить производительность и сократить эксплуатационные расходы при использовании с другими инструментами.

Вы также можете изучить анализ состава программного обеспечения (SCA), чтобы повысить безопасность своего приложения.