Fortify 專欄

3 分鐘讓你看懂 Fortify SCA 報表形式

在業務拜訪時經常有人問到,Fortify SCA 可以提供什麼形式的報表?現在就讓資通電腦 Fortify 顧問團隊來幫你解答!

Fortify SCA 報表形式:

1. 依不同組織分類提供相對應報表

Fortify SCA 目前可偵測的弱點覆蓋範圍很廣,支援超過 1000 個符合標準的 SAST 弱點類別及法規遵循,如:OWASP Top 10 資安弱點、CWE/SANS Top 25 資安弱點、DISA STIG 和 PCI DSS…等,可提供對應的報表,亦可支援客製化報表功能。

SAST 弱點類別
與法規相對應的報表類別

2. 提供多元報表格式

報表可匯出 PDF、HTML、DOC、XLS…等格式。

3. 提供豐富完整報表內容

產出的報表內容涵蓋:漏洞種類、嚴重等級、程式碼檔案名稱、漏洞行數及修改建議。

以 OWASP top 10 2017 為範例:
OWASP(Open Web Application Security Project;開放網路軟體安全計畫)是一個致力於提高應用程式安全的開放社群,其主要目標是研議協助改善軟體的安全。OWASP 將常見的網路安全漏洞進行歸納、分析,提列出十大網路安全上的風險排名及防範措施,目前已逐漸被政府或民間機構,列入資安參考指標之一。

  • 注入攻擊(Injection)
  • 失效的身份認證(Broken Authentication)
  • 敏感資料外洩(Sensitive Data Exposure)
  • XML 外部處理器漏洞(XML External Entities;XXE)
  • 無效的存取控管(Broken Access Control)
  • 不安全的組態設定(Security Misconfiguration)
  • 跨站腳本攻擊(Cross-Site Scripting;XSS)
  • 不安全的反序列化漏洞(Insecure Deserialization)
  • 使用有漏洞的元件(Using Components with Known Vulnerabilities)
  • 紀錄與監控不足的風險(Insufficient Logging & Monitoring)

Fortify 提供檢測 OWASP 2013/2017 Top 10 Risk 與 OWASP Mobile 2014 Top 10 Risk 安全漏洞功能並可以依 Risk A1 到 A10 項目歸類排序,產出報表。

產出的報表範例

程式開發人員可參考 Developer Workbook 產出的報表,以下為報表範例:

閱讀更多