根據 Micro Focus®Software Security Research《2018 年應用程序安全風險報告》, 80% 的應用程式至少包含一個嚴重或高度漏洞,而 90% 的安全事件是來自針對軟體設計或代碼缺陷的攻擊。透過 Fortify SCA 自動化靜態分析或 WebInspect 自動化動態分析,可有效率地辨識原始碼中的安全弱點,提早發現弱點,降低修復的成本。
採用 Fortify SCA 的優點
- 可在本機執行,並可整合開發人員的 IDE(Plugins for Eclipse、Visual Studio、Android Studio)。
- 架構有彈性,可集中或分散,並可同時掃描多個專案。
- 支援多種掃描方式,並可與 CI/CD 整合。
- 可與 Fortify 黑箱測試工具 WebInspect 掃描結果整合達到交叉分析的功能。
- 支援差異性掃描。
- 以 UML 循序圖呈現程式間的資料流,顯示問題的起點到終點,以及中間各節點的執行順序與深度。
- 提供最廣泛的程式語言涵蓋範圍,誤報率較低。
- 大部分的檢測均可在幾分鐘內完成。
- 持續獲得業界肯定。Fortify 在過去 15 年一直是業界公認的應用程式安全領導產品,包括連續 10 年榮獲 Gartner「應用程式安全性魔力象限」的領導者認定,廣受全球多產業及各大企業的信賴。
選定 Fortify SCA 後,需要考量的程式弱點掃描要點
- 盤點需要掃描的原始碼、可進行掃描的硬體設備,以制訂掃描策略。
- 掃描後稽核出現的問題,並制訂處理問題的優先順序與準則。
- 適當修改系統參數,優化掃描流程與效能。
- 問題處理經驗的分享,避免重蹈覆轍。
除了以上幾個掃描要點外,企業也需選定一位關鍵主導人物,搭配完善的 Fortify 程式弱點掃描工具來協助落實應用程式安全性。
