產品特寫

程式開發人員的資安密器:資通 Fortify 企業資安監測方案

Norman Norman

根據美國商務部國家技術與標準局(The Commerce Department's National Institute of Standards and Technology,簡稱 NIST)研究指出,92% 的安全弱點發生在軟體中。商業軟體比起以往更容易在網際網路上取得,也常見使用在網際網路、雲端或行動裝置上,因此使用範圍已經遠超出企業可防禦的區域。資通代理的 Fortify 企業資安監測方案,運用靜態源碼檢測分析工具(Static Code Analyzer,SCA)與 WebInspect 動態弱點檢測工具,能協助 IT 及開發人員預先找出程式碼中的弱點,並排定優先修補順序,以防相同弱點再次發生在其他程式碼中。

駭客與犯罪集團擅長利用軟體安全漏洞竊取各項資料,包括客戶身分資料、訂單、智慧財產及現金,或是發起各種攻擊中斷企業營運,進而損害企業形象,並讓企業員工、客戶和公眾陷於風險之中。

Fortify SCA 與 WebInspect 分別是白箱及黑箱測試工具,前者可藉由掃描應用軟體原始碼找出程式碼中的安全漏洞;後者則可模擬真實世界駭客的技術與攻擊,從網站外部進行滲透測試,找出網站和 web 服務的安全漏洞。

靜態程式碼分析工具

Fortify SCA 是一個靜態應用軟體安全測試工具(SAST),幫助開發團隊或安全專家分析原始碼中的安全漏洞。Fortify SCA 可以在修復成本最少且修復最簡單的軟體開發階段,識別出安全漏洞並分級,讓開發人員迅速修補漏洞。

  • 支援超過 23 種程式語言撰寫的程式碼
  • 可檢測超過 700 種安全漏洞分類
  • 支援各大整合開發環境
    1. Eclipse
    2. IntelliJ Ultimate
    3. IntelliJ Community Android Studio
    4. IBM Rational Application Developer(RAD)
    5. IBM Rational Software Architect(RSA)
    6. Microsoft Visual Studio
  • 支援各種建置工具
    1. Ant
    2. Jenkins
    3. Maven
    4. MSBuild
    5. Xcodebuild
  • 依問題嚴重等級分類
    SCA 將檢測出的問題依可能性(Likelihood)及衝擊性(Impact)分成危急 Critical、高度 High、中度 Medium 及輕度 Low 四個風險等級。
  • 問題嚴重等級
  • 定期更新檢查規則
    透過智能更新 SmartUpdate 持續更新檢查規則,讓 SCA 可以保持最新的弱點分析基礎,讓最新弱點可以被發現並修補。
  • 完整詳細的安全漏洞檢測報告
    包含安全漏洞的說明、發生的位置(檔案名稱、程式行號、程式碼片段)及修補的建議,讓開發人員可以快速找到漏洞位置,並依修補建議進行相對應的修補工作。

WebInspect 自動化弱點掃描工具

WebInspect 是一個自動化的動態應用程式安全測試工具(DAST)。WebInspect 經由模擬真實世界駭客的技術與攻擊,並提供複雜的 Web 應用及 Web 服務一個全面的動態分析,以徹底找出其中的安全漏洞。

  • HPE WebInspect Agent 評估代理分析
    1. 整合動態程式碼及執行期分析,以找出漏洞並更快地修復。
    2. 在動態掃描期間於程式碼層級觀察攻擊。
    3. 鑑別並深入應用程式以擴大攻擊表面的涵蓋範圍。
    4. 針對發現的漏洞,提供開發人員諸如程式行數、堆疊追蹤及 SQL 查詢等可用的詳細資料,以進一步修復。
  • 先進的技術
    1. 透過類似同時爬網與稽核以及並行掃描等先進技術,讓即使是新手檢測人員也可以容易使用強而有力的掃瞄技術。
    2. 支援最新的網頁技術。
    3. 可以檢測 Mobile-Optimized 行動優化網站及 Native Mobile Web 原生行動服務網站。
    4. 先進的巨集錄製技術及彈性的驗證處理,改善了複雜應用程式中工作階段(session)管理。
    5. 提供 Web 服務安全設計工具(Web Service Security Designer)設定 Web 服務安全測試。
    6. 創新的應用程式架構分析工具有助於調整掃描組態,並可針對網站涵蓋範圍及準確度的改善提出建議。
    7. 在使用者建立掃描時提供引導。精靈(wizard)提供輸入可讓 WebInspect 精確指出應用程式弱點的資訊,讓新手或專家可以強化測試的結果。
  • 可付諸行動的補救和法規遵循報告
    1. 執行弱點趨勢、法規遵循等管理報告,提供開發人員每個弱點細節及修補優先等級。
    2. 針對所有主要法規標準執行法規遵循報告,包括 PCI、SOX、ISO 及 HIPAA。
    3. 配合企業需求,建立靈活、可延伸和可擴充的報告。
    4. 突出顯示 HTTP 要求與回應(request / response)可以立即將注意力放在攻擊和易受攻擊的回應上。
    5. 可以很容易針對所有弱點或單一弱點對整個站台重新測試。
    6. 掃描比較功能可針對兩次掃描所找到的漏洞進行差異分析比較,讓使用者可以看到補救的成效,並監控是否有新漏洞產生。
  • 與自訂工作流程整合
    1. 可以整合到自訂的缺失管理流程,並可立即與應用程式生命週期管理 解決方案(HPE Application Lifecycle Managemen,ALM)及 Quality Center 進行整合。
    2. 可以立即與 HPE WebInspect Enterprise 整合。
    3. 透過 XML 支援廣泛資料匯出,可以與其他安全管理系統開放整合。
    4. 可使用 HPE WebInspect API 應用程式介面進行自動化定期安全工作。