02/08/2023

Ce este Fortify SCA și cum se instalează?

Fortify Static Code Analyzer (SCA) analizează codul sursă și identifică cauza principală a vulnerabilităților de securitate.

O scanare Fortify prioritizează cele mai grave probleme și ghidează modul în care dezvoltatorii ar trebui să le rezolve.

Fortify Static Code Analyzer

Fortify Static Code Analyzer are diferiți analizoare de vulnerabilități, cum ar fi Buffer, Content, Control Flow, Dataflow, Semantic, Configuration și Structural. Fiecare dintre aceste analizoare acceptă un tip diferit de regulă, adaptată pentru a oferi informații necesare tipului de analiză efectuată.

Fortify Static Code Analyzer are următoarele componente;

  • Fortify Scan Wizard. Este un instrument care oferă opțiuni pentru a rula scripturi după sau înainte de analiză.
  • Banc de lucru de audit. Este o aplicație bazată pe GUI care organizează și gestionează rezultatele analizate.
  • Editor de reguli personalizate. Este un instrument care permite dezvoltatorilor să creeze și să editeze reguli personalizate pentru analiză.
  • Plugin pentru IntelliJ și Android Studio. Acest plugin oferă rezultate de analiză în IDE.
  • Plugin pentru Eclipse. Acest instrument este integrat cu Eclipse și afișează rezultatele în IDE.
  • Plugin Bamboo. Este un plugin care colectează rezultatele din Bamboo Job care rulează o analiză.
  • Pluginul Jenkins. Acest plugin colectează rezultatele analizei de la Jenkins Job.

Caracteristicile Fortify SCA

#1. Suporta mai multe limbi

Unele dintre limbile acceptate pe Fortify SCA sunt; ABAP/BSP, ActionScript, ASP (cu VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (inclusiv Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL și XML.

#2. Opțiuni flexibile de implementare

  • Fortify On-Prem permite unei organizații control deplin asupra tuturor aspectelor Fortify SCA.
  • Fortify On Demand le permite dezvoltatorilor să lucreze într-un mediu Software As Service.
  • Fortify Hosted permite dezvoltatorilor să se bucure de ambele lumi (La cerere și On-Prem) printr-un mediu virtual izolat, cu control complet al datelor.

#3. Se integrează ușor cu instrumentele CI/CD

  • Dezvoltatorii pot integra cu ușurință Fortify SCA cu IDE-uri majore, cum ar fi Visual Studio și Eclipse.
  • Dezvoltatorii au control asupra diferitelor acțiuni, deoarece instrumentul se integrează cu instrumente open-source, cum ar fi Sonatype, WhiteSource, Snyk și BlackDuck.
  • De asemenea, puteți integra Fortify SCA cu depozite de cod la distanță, cum ar fi Bitbucket și GitHub. Instrumentul poate verifica astfel codul trimis către astfel de platforme pentru vulnerabilități și poate trimite rapoarte.
  7 Cea mai bună platformă de mesagerie cu Bots pentru vânzări și marketing

#4. Alerte în timp real

Nu trebuie să așteptați până când ați terminat cu codificarea pentru a vă face testele, deoarece Fortify SCA oferă actualizări în timp real pe măsură ce codificați. Instrumentul are configurații și analizoare structurale construite pentru viteză și eficiență și vă ajută să produceți aplicații sigure.

#5. Audit Assistant alimentat de machine learning

Auditarea unui sistem este rapidă folosind Audit Assistant, care utilizează algoritmi de învățare automată. Asistentul identifică toate vulnerabilitățile și le prioritizează în funcție de nivelul de încredere. Organizațiile pot economisi astfel costurile de audit pe măsură ce instrumentul generează rapoarte.

#6. Flexibilitate

Utilizatorii pot selecta tipul de scanare pe care doresc să o efectueze în funcție de nevoile lor. De exemplu, dacă doriți scanări precise și detaliate, puteți selecta opțiunea de scanare cuprinzătoare. Dezvoltatorii pot selecta, de asemenea, opțiunea de scanare rapidă dacă doresc doar detectarea amenințărilor majore.

Ce face Fortify SCA?

Fortify SCA are mai multe roluri într-un ecosistem tipic de dezvoltare. Următoarele sunt câteva dintre roluri;

Testarea statică ajută la construirea unui cod mai bun

Testarea de securitate statică a aplicațiilor (SAST) ajută la identificarea vulnerabilităților de securitate în fazele incipiente de dezvoltare. Din fericire, majoritatea acestor vulnerabilități de securitate sunt ieftine de reparat.

O astfel de abordare reduce riscurile de securitate în aplicații, deoarece testarea oferă feedback imediat cu privire la problemele introduse în cod în timpul dezvoltării.

De asemenea, dezvoltatorii învață despre securitate prin Testarea securității aplicațiilor statice și pot începe astfel să producă software securizat.

Fortify SCA utilizează o bază extinsă de cunoștințe de reguli de codare sigură și algoritmi multipli pentru a analiza codul sursă al unei aplicații software pentru vulnerabilități de securitate. Abordarea analizează orice cale fezabilă pe care o pot urma datele și execuția pentru a identifica vulnerabilitățile și a oferi remedii.

Găsește problemele de securitate din timp

Fortify SCA imită un compilator. După o scanare Fortify, acest instrument citește fișierele de cod sursă și le convertește într-o structură intermediară îmbunătățită pentru analiza de securitate.

Toate vulnerabilitățile de securitate sunt ușor de localizat în format intermediar. Instrumentul vine cu un motor de analiză format din mai mulți analizori specializați care vor folosi apoi reguli de codare securizată pentru a analiza dacă codul încalcă regulile de practici de codare sigure.

Fortify SCA vine și cu un generator de reguli dacă doriți să extindeți capabilitățile de analiză statică și să includeți reguli personalizate. Rezultatele într-o astfel de setare pot fi vizualizate în diferite formate în funcție de sarcină și public.

  Cum să faci o clonă bootabilă a hard disk-ului Mac-ului tău

Fortify Software Security Center (SSC) ajută la gestionarea rezultatelor

Fortify Software Security Center (SSC) este un depozit de management centralizat care oferă vizibilitate întregului program de securitate al aplicațiilor unei organizații. Prin SSC, utilizatorii pot audita, revizui, prioritiza și gestiona eforturile de remediere atunci când sunt identificate amenințări de securitate.

Fortify SSC oferă o sferă și o imagine precisă a poziției de securitate a aplicației într-o organizație. SSC se află într-un server central, dar primește rezultate din diferite activități de testare a securității aplicațiilor, de la analiză în timp real, dinamică la analiză statică.

Ce tip de analiză de cod poate face Fortify SCA?

O scanare fortificată împrumută din arhitectura regatelor pernicioase atunci când faceți analiza codului. Acestea sunt tipurile de analize pe care le face Fortify SCA;

  • Validarea și reprezentarea intrărilor – problemele asociate cu validarea și reprezentarea intrărilor provin din codificări alternative, reprezentări numerice și metacaractere. Exemple de astfel de probleme sunt „Buffer Overflows”, atacurile „Cross-Site Scripting” și „SQL Injection”, care apar atunci când utilizatorii au încredere în intrări.
  • Abuz API. Apelantul care nu respectă încheierea contractului este cel mai frecvent tip de abuz API.
  • Caracteristici de securitate. Acest test face diferența între securitatea software și software-ul de securitate. Analiza se va concentra pe autentificare, managementul privilegiilor, controlul accesului, confidențialitatea și problemele de criptare.
  • Timpul și starea. Calculatoarele pot comuta foarte repede între diferite sarcini. Analiza timpului și stării caută defecte care apar din interacțiunile neașteptate dintre fire, informații, procese și timp.
  • Erori. Fortify SCA va verifica dacă erorile oferă prea multe informații potențialilor atacatori.
  • Calitate cod. Calitatea slabă a codului duce de obicei la un comportament imprevizibil. Cu toate acestea, atacatorii pot avea șansa de a manipula o aplicație în beneficiul lor dacă dau peste cod care este scris prost.
  • Încapsulare. Acesta este procesul de a trasa granițe puternice. O astfel de analiză poate însemna diferențierea între datele validate și nevalidate.

Descărcați și instalați Fortify SCA

Înainte de a începe procesul de instalare, trebuie să;

  • Verificați cerințele de sistem din documentația oficială
  • Obțineți fișierul de licență Fortify. Selectați pachetul dvs. din pagina de descărcări Microfocus. Căutați Fortify Static Code Analyzer, creați-vă contul și obțineți un fișier de licență Fortify.

  • Asigurați-vă că aveți instalat Visual Studio Code sau un alt editor de cod acceptat

Cum se instalează pe Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

NB: este versiunea de lansare a software-ului

  • Faceți clic pe Următorul după acceptarea acordului de licență.
  • Alegeți unde să instalați Fortify Static Code Analyzer și faceți clic pe Următorul.
  • Selectați componentele pe care doriți să le instalați și faceți clic pe Următorul.
  • Specificați utilizatorii dacă instalați o extensie pentru Visual Studio 2015 sau 2017.
  • Faceți clic pe Următorul după ce ați specificat calea pentru fișierul fortify.license.
  • Specificați setările necesare pentru a actualiza conținutul de securitate. Puteți utiliza serverul de actualizare Fortify Rulepack specificând adresa URL ca https://update.fortify.com. Faceți clic pe Următorul.
  • Specificați dacă doriți să instalați un exemplu de cod sursă. Faceți clic pe Următorul.
  • Faceți clic pe Următorul pentru a instala Fortify SCA și aplicațiile.
  • Faceți clic pe Actualizare conținut de securitate după instalare și apoi pe Terminare după finalizarea instalării.
  Cum se creează un sondaj în Zoom

Cum se instalează pe Linux

Puteți urma aceiași pași pentru a instala Fortify SCA pe un sistem bazat pe Linux. Cu toate acestea, la primul pas, rulați acest fișier ca fișier de instalare;

Fortify_SCA_and_Apps__linux_x64.run

Alternativ, puteți instala Fortify SCA utilizând linia de comandă promptă.

Deschideți terminalul și rulați această comandă

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Urmați toate instrucțiunile conform instrucțiunilor de pe linia de comandă până când finalizați procesul de instalare.

Cum să rulați o scanare Fortify

Odată ce ați terminat cu instalarea, este timpul să configurați instrumentul pentru analiza de securitate.

  • Mergeți la directorul de instalare și navigați la folderul bin folosind promptul de comandă.
  • Tastați scapostinstall. Puteți apoi să tastați s pentru a afișa setările.
  • Configurați localitatea folosind aceste comenzi;

Tastați 2 pentru a selecta Setări.

Tastați 1 pentru a selecta General.

Tastați 1 pentru a selecta Locale

Pentru limbă, tastați engleză: en pentru a seta limba engleză.

  • Configurați actualizările conținutului de securitate. Tastați 2 pentru a selecta Setări și apoi tastați din nou 2 pentru a selecta Fortificarea actualizare. Acum puteți utiliza serverul de actualizare Fortify Rulepack specificând adresa URL ca https://update.fortify.com.
  • Introduceți sourceanalyzer pentru a verifica dacă instrumentul este complet instalat.

Fortify SCA va rula acum în fundal și va verifica întregul cod pentru vulnerabilități de securitate.

Încheierea

Cazurile în care sistemele sunt piratate și datele compromise au devenit rampante în această eră a internetului. Din fericire, acum avem instrumente precum Fortify Static Code Analyzer care pot detecta amenințările de securitate pe măsură ce codul este scris, trimite alerte și poate oferi recomandări cu privire la gestionarea unor astfel de amenințări. Fortify SCA poate crește productivitatea și poate reduce costurile operaționale atunci când este utilizat cu alte instrumente.

De asemenea, puteți explora Software Composition Analysis (SCA) pentru a îmbunătăți securitatea aplicației dvs.

x