Apa itu Fortify SCA, dan bagaimana cara menginstalnya?

Diterbitkan: 2023-01-13

Fortify Static Code Analyzer (SCA) menganalisis kode sumber dan menunjukkan akar penyebab kerentanan keamanan.

Pemindaian Fortify memprioritaskan masalah yang paling serius dan memandu bagaimana pengembang harus memperbaikinya.

Fortify Static Code Analyzer

Fortify Static Code Analyzer memiliki berbagai penganalisa kerentanan seperti Buffer, Content, Control Flow, Dataflow, Semantic, Configuration, dan Structural. Masing-masing penganalisa ini menerima jenis aturan berbeda yang disesuaikan untuk menawarkan informasi yang diperlukan untuk jenis analisis yang dilakukan.

Fortify-Static-Code-Analyzer

Fortify Static Code Analyzer memiliki komponen berikut;

  • Membentengi Pemindaian Wizard. Ini adalah alat yang menawarkan opsi untuk menjalankan skrip setelah atau sebelum analisis.
  • Meja kerja audit. Ini adalah aplikasi berbasis GUI yang mengatur dan mengelola hasil yang dianalisis.
  • Editor Aturan Khusus. Ini adalah alat yang memungkinkan pengembang membuat dan mengedit aturan khusus untuk analisis.
  • Plugin untuk IntelliJ dan Android Studio. Plugin ini memberikan hasil analisis dalam IDE.
  • Plugin untuk Eclipse. Alat ini terintegrasi dengan Eclipse dan menampilkan hasil dalam IDE.
  • Plugin Bambu. Ini adalah plugin yang mengumpulkan hasil dari Pekerjaan Bambu yang menjalankan analisis.
  • Plugin Jenkins. Plugin ini mengumpulkan hasil analisis dari Jenkins Job.

Fitur Fortify SCA

Fitur-of-Fortify-SCA-

#1. Mendukung banyak bahasa

Beberapa bahasa yang didukung di Fortify SCA adalah; ABAP/BSP, ActionScript, ASP (dengan VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Klasik, VB.NET, VBScript, CFML, Go, HTML, Java (termasuk Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL, dan XML.

#2. Opsi penerapan yang fleksibel

  • Fortify On-Prem memungkinkan organisasi mengontrol penuh semua aspek Fortify SCA.
  • Fortify On Demand memungkinkan pengembang untuk bekerja di lingkungan Software As Service.
  • Fortify Hosted memungkinkan pengembang untuk menikmati dua dunia (On Demand dan On-Prem) melalui lingkungan virtual yang terisolasi dengan kontrol data penuh.

#3. Terintegrasi dengan mudah dengan alat CI/CD

  • Pengembang dapat dengan mudah mengintegrasikan Fortify SCA dengan IDE utama seperti Visual Studio dan Eclipse.
  • Pengembang memiliki kendali atas berbagai tindakan karena alat tersebut terintegrasi dengan alat sumber terbuka seperti Sonatype, WhiteSource, Snyk, dan BlackDuck.
  • Anda juga dapat mengintegrasikan Fortify SCA dengan repositori kode jarak jauh seperti Bitbucket dan GitHub. Dengan demikian, alat tersebut dapat memeriksa kode yang didorong ke platform tersebut untuk mengetahui kerentanan dan mengirim laporan.

#4. Lansiran waktu nyata

Anda tidak perlu menunggu sampai selesai dengan pengkodean untuk melakukan pengujian, karena Fortify SCA memberikan pembaruan waktu nyata saat Anda membuat kode. Alat ini memiliki penganalisis konfigurasi dan struktur yang dibangun untuk kecepatan dan efisiensi serta membantu Anda menghasilkan aplikasi yang aman.

#5. Asisten Audit didukung oleh pembelajaran mesin

Audit sistem cepat menggunakan Asisten Audit, yang menggunakan algoritme pembelajaran mesin. Asisten mengidentifikasi semua kerentanan dan memprioritaskannya berdasarkan tingkat kepercayaan. Dengan demikian, organisasi dapat menghemat biaya audit karena alat tersebut menghasilkan laporan.

#6. Fleksibilitas

Pengguna dapat memilih jenis pemindaian yang ingin mereka lakukan berdasarkan kebutuhan mereka. Misalnya, jika Anda menginginkan pemindaian yang akurat dan terperinci, Anda dapat memilih opsi pemindaian komprehensif. Pengembang juga dapat memilih opsi pemindaian cepat jika mereka hanya ingin mendeteksi ancaman besar.

Apa yang dilakukan Fortifikasi SCA?

Apa-memperkuat-SCA-lakukan

Fortify SCA memiliki beberapa peran dalam ekosistem pembangunan tipikal. Berikut ini adalah beberapa peran;

Pengujian Statis Membantu Membangun Kode yang Lebih Baik

Pengujian Keamanan Aplikasi Statis (SAST) membantu mengidentifikasi kerentanan keamanan pada tahap pengembangan awal. Untungnya, sebagian besar kerentanan keamanan ini tidak mahal untuk diperbaiki.

Pendekatan semacam itu mengurangi risiko keamanan dalam aplikasi karena pengujian memberikan umpan balik langsung tentang masalah yang diperkenalkan ke kode selama pengembangan.

Pengembang juga belajar tentang keamanan melalui Pengujian Keamanan Aplikasi Statis, dan dengan demikian mereka dapat mulai memproduksi perangkat lunak yang aman.

Fortify SCA menggunakan basis pengetahuan luas tentang aturan pengkodean aman dan beberapa algoritme untuk menganalisis kode sumber aplikasi perangkat lunak untuk kerentanan keamanan. Pendekatan tersebut menganalisis setiap jalur yang layak yang dapat diikuti oleh data dan eksekusi untuk mengidentifikasi kerentanan dan menawarkan solusi.

Menemukan Masalah Keamanan Lebih Awal

Membentengi SCA meniru kompiler. Setelah pemindaian Fortify, alat ini membaca file kode sumber dan mengubahnya menjadi struktur perantara yang disempurnakan untuk analisis keamanan.

Semua kerentanan keamanan mudah ditemukan dalam format perantara. Alat ini dilengkapi dengan mesin analisis yang terdiri dari beberapa penganalisa khusus yang kemudian akan menggunakan aturan pengkodean yang aman untuk menganalisis jika kode tersebut melanggar aturan praktik pengkodean yang aman.

Fortify SCA juga dilengkapi dengan pembuat aturan jika Anda ingin memperluas kemampuan analisis statis dan menyertakan aturan khusus. Hasil dalam pengaturan seperti itu dapat dilihat dalam berbagai format berdasarkan tugas dan audiens.

Fortify Software Security Center (SSC) Membantu Mengelola Hasil

Fortify Software Security Center (SSC) adalah repositori manajemen terpusat yang menawarkan visibilitas ke seluruh program keamanan aplikasi organisasi. Melalui SSC, pengguna dapat mengaudit, meninjau, memprioritaskan, dan mengelola upaya perbaikan saat ancaman keamanan teridentifikasi.

Fortify SSC menawarkan cakupan dan gambaran yang akurat tentang postur keamanan aplikasi dalam suatu organisasi. SSC berada di server pusat tetapi menerima hasil dari aktivitas pengujian keamanan aplikasi yang berbeda mulai dari analisis real-time, dinamis, hingga statis.

Jenis analisis kode apa yang dapat dilakukan Fortify SCA?

Apa-jenis-kode-analisis-dapat-Memperkuat-SCA-lakukan

Pemindaian benteng meminjam dari arsitektur kerajaan yang merusak saat melakukan analisis kode. Ini adalah jenis analisis yang dilakukan oleh Fortify SCA;

  • Validasi dan Representasi Input- masalah yang terkait dengan Validasi dan Representasi Input berasal dari pengkodean alternatif, representasi numerik, dan karakter meta. Contoh masalah tersebut adalah serangan "Buffer Overflows", "Cross-Site Scripting", dan "SQL Injection", yang muncul saat pengguna mempercayai input.
  • Penyalahgunaan API. Penelepon yang gagal menghormati akhir kontrak adalah jenis penyalahgunaan API yang paling umum.
  • Fitur keamanan. Tes ini membedakan antara keamanan perangkat lunak dan perangkat lunak keamanan. Analisis akan berfokus pada otentikasi, manajemen hak istimewa, kontrol akses, kerahasiaan, dan masalah kriptografi.
  • Waktu dan Negara. Komputer dapat beralih di antara tugas yang berbeda dengan sangat cepat. Analisis Waktu dan Status mencari cacat yang timbul dari interaksi tak terduga antara utas, informasi, proses, dan waktu.
  • Kesalahan. Fortify SCA akan memeriksa apakah kesalahan memberikan terlalu banyak informasi kepada calon penyerang.
  • Kualitas Kode. Kualitas kode yang buruk biasanya mengarah pada perilaku yang tidak dapat diprediksi. Namun, penyerang dapat memiliki kesempatan untuk memanipulasi aplikasi untuk keuntungan mereka jika menemukan kode yang ditulis dengan buruk.
  • Enkapsulasi. Ini adalah proses menggambar batasan yang kuat. Analisis semacam itu dapat berarti membedakan antara data yang divalidasi dan tidak divalidasi.

Unduh dan Instal Fortify SCA

Sebelum memulai proses instalasi, Anda harus;

  • Periksa persyaratan sistem dari dokumentasi resmi
  • Dapatkan file lisensi Fortify. Pilih paket Anda dari halaman unduhan Microfocus. Cari Fortify Static Code Analyzer, buat akun Anda, dan dapatkan file lisensi Fortify.
unduh
  • Pastikan Anda telah menginstal Visual Studio Code atau editor kode lain yang didukung

Cara menginstal di Windows

  • Jalankan file penginstal
 Fortify_SCA_and_Apps_<version>_windows_x64.exe

NB: <version> adalah versi rilis perangkat lunak

  • Klik Berikutnya setelah menerima perjanjian lisensi.
  • Pilih tempat untuk menginstal Fortify Static Code Analyzer dan klik Next.
  • Pilih komponen yang ingin Anda instal dan klik Berikutnya.
  • Tentukan pengguna jika Anda memasang ekstensi untuk Visual Studio 2015 atau 2017.
  • Klik Berikutnya setelah menentukan jalur untuk file fortify.license .
  • Tentukan pengaturan yang diperlukan untuk memperbarui konten keamanan. Anda dapat menggunakan server pembaruan Fortify Rulepack dengan menentukan URL sebagai https://update.fortify.com. Klik Berikutnya .
  • Tentukan apakah Anda ingin menginstal kode sumber sampel. Klik Berikutnya .
  • Klik Berikutnya untuk menginstal Fortify SCA dan aplikasi.
  • Klik Perbarui konten keamanan setelah penginstalan, lalu Selesaikan setelah penginstalan selesai.

Cara menginstal di Linux

Anda dapat mengikuti langkah yang sama untuk menginstal Fortify SCA pada sistem berbasis Linux. Namun, pada langkah pertama, jalankan ini sebagai file penginstal;

 Fortify_SCA_and_Apps__linux_x64.run

Anda juga dapat menginstal Fortify SCA menggunakan command line prompt.

Buka terminal Anda dan jalankan perintah ini

 ./Fortify_SCA_and_Apps__linux_x64.run --mode text

Ikuti semua petunjuk seperti yang diarahkan pada baris perintah hingga Anda menyelesaikan proses instalasi.

Cara Menjalankan Pemindaian Fortify

Bagaimana-menjalankan-membentengi-scan

Setelah Anda selesai menginstal, sekarang saatnya menyiapkan alat untuk analisis keamanan.

  • Kepala ke Direktori Instalasi dan arahkan ke folder bin menggunakan command prompt.
  • Ketik scapostinstall. Anda kemudian dapat mengetik s untuk menampilkan pengaturan.
  • Siapkan lokal menggunakan perintah ini;

Ketik 2 untuk memilih Pengaturan.

Ketik 1 untuk memilih Umum.

Ketik 1 untuk memilih Lokal

Untuk bahasa, ketik English: en untuk mengatur bahasa menjadi bahasa Inggris.

  • Konfigurasikan pembaruan Konten Keamanan. Ketik 2 untuk memilih Pengaturan lalu ketik 2 lagi untuk memilih Fortify Update. Anda sekarang dapat menggunakan server pembaruan Fortify Rulepack dengan menentukan URL sebagai https://update.fortify.com.
  • Ketik sourceanalyzer untuk memeriksa apakah alat sudah terinstal sepenuhnya.

Fortify SCA sekarang akan berjalan di latar belakang dan memeriksa semua kode Anda untuk kerentanan keamanan.

Membungkus

Kasus sistem yang diretas dan data yang dikompromikan telah merajalela di era internet ini. Untungnya, kami sekarang memiliki alat seperti Fortify Static Code Analyzer yang dapat mendeteksi ancaman keamanan saat kode sedang ditulis, mengirimkan peringatan, dan memberikan rekomendasi untuk menangani ancaman tersebut. Fortify SCA dapat meningkatkan produktivitas dan memangkas biaya operasional saat digunakan dengan alat lain.

Anda juga dapat mempelajari Analisis Komposisi Perangkat Lunak (SCA) untuk meningkatkan keamanan aplikasi Anda.