技術交流

善用 Fortify 檢測工具建立應用程式安全性（WebInspect、SSC）

陳志忠

• 本期導覽
• 技術交流

承接善用Fortify 檢測工具 建立應用程式安全性（上），這期讓我們來談談除了 Fortify SCA 之外，要如何運用 Fortify WebInspect 與 Fortify SSC 檢測工具維運開發中的應用程式安全。

WebInspect－DAST、黑箱測試

WebInspect 黑箱測試解決方案，是一種自動化的動態應用程式安全測試工具，藉由模擬真實世界駭客的技術與攻擊，找出已部署的 Web 應用程式和 Web 服務中的安全漏洞。WebInspect 可在企業環境中輕鬆部署，並提供詳細的 REST API 以協助整合，且可透過直覺式的使用者界面或以完全的自動化執行，靈活地管理安全風險。

• 主要特色
  1. 支援最新的 Web 技術，包括 HTML5、JSON、AJAX、JavaScript。
  2. 可測試針對行動裝置優化的網站及原生 Web 服務呼叫。
  3. 可以掃描單一頁面應用程式（SPA）。
  4. 創新的 Web 應用程式架構分析協助調整掃描組態，並可對涵蓋率及準確度的改善提出建議。
  5. 直覺式的掃描引導精靈協助新手進行測試。
  6. 提供符合 Web 應用程式安全性相關主要規則（PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPPAA）的個別預先配置策略與報告。
  7. 提供每個弱點細節及漏洞嚴重等級，以便開發人員可以更快地修復漏洞。
  8. 可將掃描結果匯出 XML 格式的保護規則，提供給 Web 應用程式防火牆（WAF）匯入，提供立即的保護。
• 主要效益
  1. 全面的儀表板，可追蹤關鍵漏洞，確認補救措施，並提供指標、進度和趨勢。

     

  2. 整合自動化
     WebInspect 可作為全自動化解決方案，以滿足 DevOps 和擴充性的需求，不須額外負擔即可與 SDLC 整合，最大限度地減少軟體開發過程中的摩擦。
     • 提供 REST APIs，以進行更緊密的整合，達到自動化掃描，並檢查是否達成合格要求。
     • 利用預先建置（prebuilt）與 Micro Focus ALM／QC 及其他安全測試管理系統整合。
     • 掃描 RESTful web services：透過 WISwag 命令行工具掃描 Swagger 及 OData 格式的 web service。
  3. 更快、更早發現漏洞
     • WebInspect 可以透過調整各項控制參數，以便進行掃描效能優化。
     • 透過 WebInspect Agent 技術，WebInspect 可以爬行更多的 Web 應用程式結構，以增加攻擊面（隱藏目錄和頁面、OATH 身份驗證、未使用的參數／後門、隱私衝突）的涵蓋範圍，並檢測黑箱安全測試技術無法檢測到的新類型漏洞。
     • 差異掃描可針對 Web 應用程式異動部分進行檢測。
     • 可使用策略管理工具客製化掃描策略，以獲取較高的掃描效能。

Fortify SSC（Software Security Center）－新軟體開發生命週期的集中式軟體安全管理

Fortify SSC 是一個集中管理存儲庫，提供收集、關聯和輸出安全分析結果。Fortify SSC server 位於中心位置，可接收來自不同安全活動的結果，例如靜態（Fortify SCA)、動態（WebInspect）和即時分析。這是一個平台，使用者可以透過管理用儀表板和報告來審查、稽核、確定優先等級、管理修復工作、追蹤軟體安全測試活動及評估改善情形。

當開發團隊使用 SCA 進行靜態分析後，將掃描結果提交到 SSC，而安全團隊則在使用 WebInspect 進行動態分析後也將掃描結果提交到 SSC。SSC 會隨著時間追蹤和分析掃描結果與評估結果的關聯性，並透過 Audit Workbench 或 IDE plugins（例如 Fortify Plugin for Eclipse、Fortify Extension for Visual Studio）向開發人員提供詳細漏洞訊息，以便進行修復。SSC 使用者還可將安全問題推送到缺陷追蹤系統，包括 ALM、JIRA、TFS／VSTS 及 Bugzilla。

• 主要特色
  Fortify SSC 協助組織：
  1. 透過應用程式安全測試了解軟體風險。
  2. 審查、管理及追蹤整個組織的安全測試活動。
  3. 提高以危害程度界定漏洞優先等級的準確性。
  4. 降低與開發、修復及遵守規定相關的成本。
  5. 降低您正在開發、外包或收購的軟體之系統性風險。
  6. 滿足內外部安全要求之符合規定目標。
  7. 交付有意義、一致且可用的稽核掃描結果。
• 主要效益
  1. 將安全團隊和開發團隊聚集在一起，以協作和解決安全問題。
  2. 透過識別及驗證組織偏好的特定結果，簡化稽核流程提高效率。
  3. 維持稽核和報告的一致性。
  4. 透過自動化應用程式安全流程來提高工作效率。
  5. 減少為了確保安全相關問題而產生的延遲，加快產品上市時間。

除了上述解決方案，還有 Fortify Application Defender。這是一種在執行時期應用程式自我保護（Runtime Application Self-Protection，RASP）解決方案，此方案針對應用程式的使用及濫用提供一個集中且可見的界面，讓使用者可以查看應用程式中的威脅，並在正式環境中保護應用程式，防止漏洞被利用及其他侵犯行為。

Fortify 可說是任何類型軟體在整個開發生命週期中保護程式碼的唯一解決方案，不論是從開發、測試、發佈到產品，以及介於兩者之間的每次反覆，都有適合的產品協助組織建立更安全的應用程式。