源碼掃描 可以幫助企業什麼

準確程式原始碼檢測
報告詳細指出漏洞位置
提供程式修正與建議
降低企業額外維運成本

Fortify Static Code Analyzer - SAST、白箱測試、源碼掃描

以整合 SAST安全編碼

  • 與IDE 整合,編碼過程中即時發現並修復安全性瑕疵 比如:使用 Eclipse 中的 Security Assistant 或資訊人員安全性「拼字檢查程式」的 Visual Studio IDE 可以即時發現並修復安全性弱點。
  • 提供遊戲式訓練,更能加強資訊人員建立安全程式碼能力。

支援多種程式語言與弱點類別符合法規遵循

  • 可支援 30 種以上主要程式語言。
  • 1000 個以上支援符合標準的 SAST 弱點類別。

具靈活性彈性的架構

  • Standalone ( 單機版 ),具高自由架構

自動掃描最佳化作業

  • Fortify 平台或藉由IDE 和 CI/CD 管道,於本機全面性的啟動掃描。掃描結果的集中管理儲存機制更快建立安全軟體並取得有價值的分析。
  • 軟體安全中心 ( SSC ) 支援組織在應用程式安全程式的所有層面進行自動化。

擁有 DevOps 的速度修復

  • 大量的分析結果深入瞭解原始碼詳細資訊,快速分類與修復繁雜安全性問題。
  • 建立特定的篩選條件並發佈範本。Audit Assistant 會以機器學習輔助稽核消除高達 90% 的誤判,減少手動稽核的時間。
  • Audit Workbench 支援大量分析與自動分類。
  • 使用自資料流程的角度顯示問題是如何與之相關的 SmartView 篩選程式,以最有效的方式修復問題。

安全性自動化 CI / CD ( Continuous Integration / Continuous Delivery )

  • Swagger 支援的 RESTful API、GitHub 存放庫、Bamboo、VSTS 和 Jenkins 外掛程式以及與開放式原始碼元件分析工具的整合,進行 CI/CD 管道中的安全性自動化工作。
  • Fortify SCA 將透過指令碼、外掛程式和 GUI 工具納入現有的開發環境,以便資訊人員可快速、輕鬆地啟動並開始作業。

WebInspect - 動態弱點掃描檢測 - 黑箱、網頁弱掃、弱點掃描

自動化DAST ( Dynamic application security testing ) 保護DevOps

  • 以自動化動態分析來檢測 Web 應用程式和 API 中的弱點與漏洞。
  • WebInspect 提供動態 Web 應用程式測試,可支援傳統和現代應用程式類型。

符合安全法規的標準

  • 滿足安全合規標準,包括 PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPPAA。

Crawl modern 架構和 APIs

  • 掃描整合功能,實現 API 和單頁應用程式的大規模測試。
  • 支援 OpenAPI(Swagger),可在幾秒鐘內完成基本 APIs 掃描。

Fortify on Demand 雲端版源碼檢測

提供多種測試方式

  • Fortify on Demand 提供多種測試方式,包括靜態應用程式安全測試 (SAST)、動態應用程式安全測試 (DAST) 和交互式應用程式安全測試 (IAST)。

符合軟體合規性測試

  • 包括 PCI DSS、HIPAA、SOX 等可以檢測應用程式是否符合相關的合規性標準和法規。

支援多種程式語言

  • 支援多種程式語言,包括 Java、C#、C++、Ruby、Python、Swift 等等,可以幫助企業對不同類型的應用程式進行測試。支援超過 26 種語言:ABAP / BSP 。

軟體安全管理中心 SSC

Fortify SSC(Software Security Center) 是一個中央管理儲存庫,彙總靜態和動態測試結果的平台,例如靜態(Fortify SCA)、動態(WebInspect)和即時分析。這是一個平台,使用者可以透過管理用儀表板和報告來審查、稽核、確定優先等級、幫助管理安全測試活動、依據風險潛勢排定修補工作優先順序管理修復工作、追蹤軟體安全測試活動及評估改善情形。

  • 軟體管理中心提供集中儲存檢測結果,統一管控所有軟體開發專案的漏洞修復現況及進度。
  • 提供主動式告警通知 ( Proactive Alert ),將針對不同專案設定不同專屬的告警條件;檢測報告 ( FPR ) 上傳後 ,去檢測結果有無超標。
  • 提供 Issue Viewer 使用瀏覽器去查看問題。

Fortify 採用工具

超過 1000000 以上個元件層級的 API

支援所有主要平台、建置環境以及 IDEs

可偵測1000 +種獨特的弱點類別

OWASP 前十大資安弱點、CWE/SANS 前 25 大資安弱點、DISA STIG 和 PCI DSS 。

支援 IDEs 包括

Eclipse 、 IntelliJ Ultimate 、 IntelliJ Community Android Studio 、 Microsoft Visual Studio 、 PyCharm 、 WebStorm

支援各式開發語言及架構 ( Supported Language )包括

Fortify 支援 ABAP/BSP、ActionScript、Apex、ASP.NET、C#(.NET)、C/C++、Classic ASP(with VBScript)、COBOL、ColdFusion CFML、Go(GoLang)、HTML、Java(Android)、 JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic、XML 等語言與架構。符合開發人員使用需求,且遵循資安法規之要求。

支援的建構工具 ( Build Tools ) 包括

Ant 、 Bamboo 、 Gradle 、 Jenkins 、 make 、 Maven 、 MSBuild 、 Xcodebuild

免費諮詢

請填寫下方資料,將有專人與您聯繫或撥諮詢電話02-55625888諮詢!

請輸入驗證碼: