產品特寫

程式開發人員的資安利器:資通 Fortify SCA 靜態源碼檢測

羅祖祈 羅祖祈

近年來,企業使用的各業務系統,所遭受的攻擊或威脅呈指數式成長。微軟在 2018 年 6 月 11 日發布的亞太資安研究報告中指出,台灣在 2017 年因網路資安攻擊事件而造成的經濟成本損失高達 270 億美元,相當於台灣 GDP 總值(5715 億美元)的 5%。由此可見,系統的資安問題現今已成為企業不可忽視的一大課題。

Fortify 源碼檢測助企業排除風險

Fortify SCA 靜態源碼檢測分析工具,能有效協助構建和保護當今最大的安全風險。透過系統原始碼的掃描,在系統開發時進行漏洞識別,確定漏洞的優先等級,並修復問題,做到以最低的成本開發出高安全性的應用系統。

  • 擁有市面上最準確的源碼靜態分析技術,提供六種主要的分析引擎包括:
    1. Data flow-資料流分析
    2. Control flow-控制流分析
    3. Structural-結構分析
    4. Semantic-語法分析
    5. Configuration-設定分析
    6. Buffer-緩衝區分析

    透過六種分析引擎來分析程式碼,可檢測出 900 多種弱點,這是其他產品無法比擬的。

  • 易於整合。透過腳本、插件與 GUI 工具輕鬆整合到任何開發環境中,使開發人員可以輕鬆快速地啟動和運行。

    Fortify 支援多種語言及架構

    1. ABAP/BSP
    2. ActionScript/MXML(Flex)
    3. ASP.NET, VB.NET, C#(.NET)
    4. C/C++
    5. Classic ASP(w/VBScript)
    6. COBOL
    7. ColdFusion CFML
    8. HTML
    9. Java(including Android)
    10. JavaScript/AJAX
    11. JSP
    12. Objective-C
    13. PHP
    14. PL/SQL
    15. Python
    16. T-SQL
    17. Ruby
    18. Swift
    19. Visual Basic
    20. VBScript
    21. XML
    多種語言及架構

    Fortify 支援整合開發環境

    提供 plug-in 支援 IDEs 整合 Fortify SCA 功能。開發者可在開發過程中隨時進行掃描,簡單易用。

    1. Eclipse
    2. IntelliJ Ultimate
    3. IntelliJ Community Android Studio
    4. IBM Rational Application Developer(RAD)
    5. IBM Rational Software Architect(RSA)
    6. Microsoft Visual Studio

    Fortify 支援建置工具

    1. Ant
    2. Jenkins
    3. Maven
    4. MSBuild
    5. Xcodebuild
  • 自動更新檢查規則

    Fortify SCA 可自動更新檢查規則,保持最新的弱點分析基礎,使最新弱點能被發現並修補。

  • 完整詳細的安全漏洞檢測報告

    包含安全漏洞的說明、發生的位置(檔案名稱、程式行號、程式碼片段)及修補的建議,協助開發人員快速找到漏洞位置,並依修補建議進行相對應的修補工作。