產品特寫

作者頭像作者|Norman

程式開發人員的資安密器 - 資通 Fortify 企業資安監測方案

關鍵字:網路資安、資安弱點、安全弱點、資安漏洞、漏洞檢測、漏洞掃描、源碼檢測、黑箱測試、白箱測試、滲透測試、開發測試環境、漏洞修補

根據美國商務部國家技術與標準局(The Commerce Department's National Institute of Standards and Technology,簡稱 NIST)研究指出,92% 的安全弱點發生在軟體中。商業軟體比起以往更容易在網際網路上取得,也常見使用在網際網路、雲端或行動裝置上,因此使用範圍已經遠超出企業可防禦的區域。資通代理的 Fortify 企業資安監測方案,運用靜態源碼檢測分析工具(Fortify Static Code Analyzer,Fortify SCA)與 WebInspect 動態弱點檢測工具,能協助 IT 及開發人員預先找出程式碼中的弱點,並排定優先修補順序,以防相同弱點再次發生在其他程式碼中。

駭客與犯罪集團擅長利用軟體安全漏洞竊取各項資料,包括客戶身分資料、訂單、智慧財產及現金,或是發起各種攻擊中斷企業營運,進而損害企業形象,並讓企業員工、客戶和公眾陷於風險之中。

Fortify SCA 與 WebInspect 分別是白箱及黑箱測試工具,前者可藉由掃描應用軟體原始碼找出程式碼中的安全漏洞;後者則可模擬真實世界駭客的技術與攻擊,從網站外部進行滲透測試,找出 Web 網站和 Web 服務的安全漏洞。

一、 HPE Security Fortify Static Code Analyzer 靜態程式碼分析工具 (Fortify SCA)

Fortify SCA 是一個靜態應用軟體安全測試工具(SAST),幫助開發團隊或安全專家分析原始碼中的安全漏洞。Fortify SCA 可以在修復成本最少且修復最簡單的軟體開發階段,識別出安全漏洞並分級,讓開發人員迅速修補漏洞。

產品特性

  1. 支援 23 種程式語言撰寫的程式碼
    • ABAP / BSP
    • Objective-C
    • ActionScript / MXML(Flex)
    • PHP
    • ASP.NET, VB.NET, C#(.NET)
    • PL / SQL
    • C / C++
    • Python
    • Classic ASP(w / VBScript)
    • T-SQL
    • COBOL
    • Ruby
    • ColdFusion CFML
    • Swift
    • HTML
    • Visual Basic
    • Java(including Android)
    • VBScript
    • JavaScript / AJAX
    • XML
    • JSP
  2. 可檢測超過 700 種安全漏洞分類
    可檢測的安全漏洞清單 https://vulncat.hpefod.com/zh-tw/weakness
  3. 支援主要的整合開發環境
    • Eclipse
    • IntelliJ Ultimate
    • IntelliJ Community Android Studio
    • IBM Rational Application Developer(RAD)
    • IBM Rational Software Architect(RSA)
    • Microsoft Visual Studio
  4. 支援主要的建置工具
    • Ant
    • Jenkins
    • Maven
    • MSBuild
    • Xcodebuild
  5. 依問題嚴重等級分類
    SCA 將檢測出的問題依可能性(Likelihood)及衝擊性(Impact)分成危急 Critical、高度 High、中度 Medium 及輕度 Low 四個風險等級。
  6. 定期更新檢查規則
    透過智能更新 SmartUpdate 持續更新檢查規則,讓 SCA 可以保持最新的弱點分析基礎,讓最新弱點可以被發現並修補。
  7. 完整詳細的安全漏洞檢測報告
    包含安全漏洞的說明、發生的位置(檔案名稱、程式行號、程式碼片段)及修補的建議,讓開發人員可以快速找到漏洞位置,並依修補建議進行相對應的修補工作。

二、 HPE Security WebInspect 自動化弱點掃描工具

WebInspect 是一個自動化的動態應用程式安全測試工具(DAST)。WebInspect 經由模擬真實世界駭客的技術與攻擊,並提供複雜的 Web 應用及 Web 服務一個全面的動態分析,以徹底找出其中的安全漏洞。

主要功能

  1. HPE WebInspect Agent 評估代理分析
    • 整合動態程式碼及執行期分析,以找出漏洞並更快地修復。
    • 在動態掃描期間於程式碼層級觀察攻擊。
    • 鑑別並深入應用程式以擴大攻擊表面的涵蓋範圍。
    • 針對發現的漏洞,提供開發人員諸如程式行數、堆疊追蹤及 SQL 查詢等可用的詳細資料,以進一步修復。
  2. 先進的技術
    • 透過像是同時爬網與稽核以及並行掃描等先進技術,讓即使是新手檢測人員也可以容易使用強而有力的掃瞄技術。
    • 支援最新的網頁技術,包括 HTML5、JSON、AJAX、JavaScript 等等。
    • 可以檢測 Mobile-Optimized 行動優化網站及 Native Mobile Web 原生行動服務網站。
    • 先進的巨集錄製技術及彈性的驗證處理,改善了複雜應用程式中工作階段(session)管理。
    • 提供 Web 服務安全設計工具(Web Service Security Designer)設定 Web 服務安全測試。
    • 創新的應用程式架構分析工具有助於調整掃描組態,並可針對網站涵蓋範圍及準確度的改善提出建議。
    • 在使用者建立掃描時提供引導。精靈(wizard)提供輸入可讓 WebInspect 精確指出應用程式弱點的資訊,讓新手或專家可以強化測試的結果。
  3. 可付諸行動的補救和法規遵循報告
    • 執行弱點趨勢、法規遵循等管理報告,提供開發人員每個弱點細節及修補優先等級。
    • 針對所有主要法規標準執行法規遵循報告,包括 PCI、SOX、ISO 及 HIPAA。
    • 配合企業需求,建立靈活、可延伸和可擴充的報告。
    • 突出顯示 HTTP 要求與回應(request / response)可以立即將注意力放在攻擊和易受攻擊的回應上。
    • 可以很容易針對所有弱點或單一弱點對整個站台重新測試。
    • 掃描比較功能可針對兩次掃描所找到的漏洞進行差異分析比較,讓使用者可以看到補救的成效,並監控是否有新漏洞產生。
  4. 與自訂工作流程整合
    • 可以整合到自訂的缺失管理流程,並可立即與應用程式生命週期管理 解決方案(HPE Application Lifecycle Managemen,ALM)及 Quality Center 進行整合。
    • 可以立即與 HPE WebInspect Enterprise 整合。
    • 透過 XML 支援廣泛資料匯出,可以與其他安全管理系統開放整合。
    • 可使用 HPE WebInspect API 應用程式介面進行自動化定期安全工作。

想瞭解更多 Fortify 企業資安監測方案,如何協助程式開發人員輕鬆揪出資安弱點?
★詳細產品資訊請洽線上免費諮詢服務或免費諮詢服務窗口 - 汪小姐 Tel:02 -2522-1351 Ext. 301

Top