Fortify SCA nedir ve nasıl kurulur?

Yayınlanan: 2023-01-13

Fortify Static Code Analyzer (SCA), kaynak kodunu analiz eder ve güvenlik açıklarının temel nedenini belirler.

Bir Fortify taraması, en ciddi sorunlara öncelik verir ve geliştiricilerin bunları nasıl düzeltmesi gerektiğine rehberlik eder.

Statik Kod Analiz Aracını Güçlendirin

Fortify Static Code Analyzer, Buffer, Content, Control Flow, Dataflow, Semantic, Configuration ve Structural gibi çeşitli zafiyet analizcilerine sahiptir. Bu analizörlerin her biri, gerçekleştirilen analiz türü için gerekli bilgileri sunmak üzere uyarlanmış farklı türde bir kuralı kabul eder.

Fortify-Static-Code-Analyzer

Fortify Static Code Analyzer aşağıdaki bileşenlere sahiptir;

  • Tarama Sihirbazını Güçlendirin. Analizden önce veya sonra komut dosyalarını çalıştırma seçenekleri sunan bir araçtır.
  • Denetim tezgahı. Analiz edilen sonuçları düzenleyen ve yöneten GUI tabanlı bir uygulamadır.
  • Özel Kural Düzenleyici. Geliştiricilerin analiz için özel kurallar oluşturmasını ve düzenlemesini sağlayan bir araçtır.
  • IntelliJ ve Android Studio için eklenti. Bu eklenti, IDE içinde analiz sonuçları sağlar.
  • Eclipse için eklenti. Bu araç Eclipse ile entegredir ve sonuçları IDE içinde görüntüler.
  • Bambu Eklentisi. Bir analiz çalıştıran Bamboo Job'un sonuçlarını toplayan bir eklentidir.
  • Jenkins Eklentisi. Bu eklenti, Jenkins İşinden analiz sonuçlarını toplar.

Fortify SCA'nın Özellikleri

Fortify-SCA'nın Özellikleri-

1 numara. Birden çok dili destekler

Fortify SCA'da desteklenen dillerden bazıları şunlardır; ABAP/BSP, ActionScript, ASP (VBScript ile), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Klasik, VB.NET, VBScript, CFML, Go, HTML, Java (Android dahil) ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL ve XML.

2 numara. Esnek dağıtım seçenekleri

  • Fortify On-Prem , bir kuruluşa Fortify SCA'nın tüm yönleri üzerinde tam kontrol sağlar.
  • Fortify On Demand , geliştiricilerin bir Hizmet Olarak Yazılım ortamında çalışmasını sağlar.
  • Fortify Hosted , geliştiricilerin tam veri kontrolüne sahip yalıtılmış bir sanal ortam aracılığıyla her iki dünyanın da (İstek Üzerine ve Şirket İçi) keyfini çıkarmasına olanak tanır.

#3. CI/CD araçlarıyla kolayca bütünleşir

  • Geliştiriciler, Fortify SCA'yı Visual Studio ve Eclipse gibi büyük IDE'lerle kolayca entegre edebilir.
  • Araç, Sonatype, WhiteSource, Snyk ve BlackDuck gibi açık kaynaklı araçlarla entegre olduğundan, geliştiriciler çeşitli eylemler üzerinde kontrole sahiptir.
  • Ayrıca Fortify SCA'yı Bitbucket ve GitHub gibi uzak kod havuzlarıyla da entegre edebilirsiniz. Böylece araç, güvenlik açıkları için bu tür platformlara gönderilen kodu kontrol edebilir ve raporlar gönderebilir.

#4. Gerçek zamanlı uyarılar

Fortify SCA siz kod yazarken gerçek zamanlı güncellemeler verdiğinden, testlerinizi yapmak için kodlamanın bitmesini beklemeniz gerekmez. Araç, hız ve verimlilik için oluşturulmuş konfigürasyon ve yapısal analizörlere sahiptir ve güvenli uygulamalar üretmenize yardımcı olur.

# 5. Makine öğreniminden güç alan Denetim Asistanı

Makine öğrenimi algoritmalarını kullanan Denetim Asistanı kullanılarak bir sistemin denetlenmesi hızlıdır. Asistan, tüm güvenlik açıklarını tanımlar ve güven düzeyine göre öncelik sırasına koyar. Böylece, araç raporlar oluştururken kuruluşlar denetim maliyetlerinden tasarruf edebilir.

#6. Esneklik

Kullanıcılar, ihtiyaçlarına göre yapmak istedikleri tarama türünü seçebilirler. Örneğin, doğru ve ayrıntılı taramalar istiyorsanız, kapsamlı tarama seçeneğini belirleyebilirsiniz. Geliştiriciler, yalnızca büyük tehditlerin algılanmasını istiyorlarsa hızlı tarama seçeneğini de seçebilirler.

Fortify SCA ne yapar?

Fortify-SCA ne yapar?

Fortify SCA'nın tipik bir geliştirme ekosisteminde birkaç rolü vardır. Aşağıda bazı roller verilmiştir;

Statik Test, Daha İyi Kod Oluşturmaya Yardımcı Olur

Statik Uygulama Güvenlik Testi (SAST), erken geliştirme aşamalarında güvenlik açıklarının belirlenmesine yardımcı olur. Neyse ki, bu güvenlik açıklarının çoğunun düzeltilmesi ucuzdur.

Test, geliştirme sırasında koda getirilen sorunlar hakkında anında geri bildirim sağladığından, bu tür bir yaklaşım uygulamalardaki güvenlik risklerini azaltır.

Geliştiriciler ayrıca Statik Uygulama Güvenlik Testi ile güvenlik hakkında bilgi sahibi olurlar ve böylece güvenli yazılımlar üretmeye başlayabilirler.

Fortify SCA, bir yazılım uygulamasının kaynak kodunu güvenlik açıklarına karşı analiz etmek için güvenli kodlama kurallarından ve çoklu algoritmalardan oluşan kapsamlı bir bilgi tabanı kullanır. Yaklaşım, güvenlik açıklarını belirlemek ve çözümler önermek için veri ve yürütmenin izleyebileceği tüm olası yolları analiz eder.

Güvenlik Sorunlarını Erken Bulur

Fortify SCA, bir derleyiciyi taklit eder. Bir Fortify taramasından sonra, bu araç kaynak kod dosyalarını okur ve bunları güvenlik analizi için geliştirilmiş bir ara yapıya dönüştürür.

Tüm güvenlik açıklarının ara formatta bulunması kolaydır. Araç, daha sonra kodun herhangi bir güvenli kodlama uygulaması kuralını ihlal edip etmediğini analiz etmek için güvenli kodlama kurallarını kullanacak çok sayıda özel analizciden oluşan bir analiz motoruyla birlikte gelir.

Statik analiz yeteneklerini genişletmek ve özel kurallar eklemek istiyorsanız, Fortify SCA ayrıca bir kural oluşturucu ile birlikte gelir. Böyle bir ortamdaki sonuçlar, göreve ve hedef kitleye göre farklı formatlarda görüntülenebilir.

Fortify Software Security Center (SSC) Sonuçları Yönetmeye Yardımcı Olur

Fortify Software Security Center (SSC), bir kuruluşun tüm uygulama güvenlik programına görünürlük sağlayan merkezi bir yönetim havuzudur. SSC aracılığıyla kullanıcılar, güvenlik tehditleri belirlendiğinde düzeltme çabalarını denetleyebilir, gözden geçirebilir, öncelik sırasına koyabilir ve yönetebilir.

Fortify SSC, bir kuruluştaki uygulama güvenliği duruşunun doğru bir kapsamını ve resmini sunar. SSC, merkezi bir sunucuda bulunur ancak gerçek zamanlı, dinamik ve statik analize kadar değişen farklı uygulama güvenlik testi faaliyetlerinden sonuçlar alır.

Fortify SCA ne tür kod analizi yapabilir?

Ne-tür-kod-analizi-Fortify-SCA-yapabilir?

Güçlendirme taraması, kod analizi yaparken zararlı krallıkların mimarisinden ödünç alır. Bunlar, Fortify SCA'nın yaptığı analiz türleridir;

  • Girdi Doğrulama ve Temsil-Girdi Doğrulama ve Temsil ile ilişkili problemler, alternatif kodlamalardan, sayısal temsillerden ve meta karakterlerden kaynaklanır. Bu tür sorunlara örnek olarak, kullanıcılar girdilere güvendiğinde ortaya çıkan "Arabellek Taşmaları", "Siteler Arası Komut Dosyası Çalıştırma" saldırıları ve "SQL Enjeksiyonu" verilebilir.
  • API Kötüye Kullanımı. Arayanın sözleşmenin sonunu yerine getirmemesi, en yaygın API kötüye kullanımı türüdür.
  • Güvenlik özellikleri. Bu test, yazılım güvenliği ve güvenlik yazılımı arasında ayrım yapar. Analiz, kimlik doğrulama, ayrıcalık yönetimi, erişim kontrolü, gizlilik ve kriptografi konularına odaklanacaktır.
  • Zaman ve Durum. Bilgisayarlar farklı görevler arasında çok hızlı geçiş yapabilir. Zaman ve Durum analizi, zincirler, bilgiler, süreçler ve zaman arasındaki beklenmeyen etkileşimlerden kaynaklanan kusurları arar.
  • Hatalar. Fortify SCA, hataların potansiyel saldırganlara çok fazla bilgi verip vermediğini kontrol eder.
  • Kod Kalitesi. Kötü kod kalitesi genellikle öngörülemeyen davranışlara yol açar. Ancak saldırganlar, kötü yazılmış bir kodla karşılaştıklarında bir uygulamayı kendi çıkarlarına göre manipüle etme şansına sahip olabilirler.
  • Kapsülleme. Bu, güçlü sınırlar çizme sürecidir. Böyle bir analiz, doğrulanmış ve doğrulanmamış veriler arasında ayrım yapmak anlamına gelebilir.

Fortify SCA'yı indirin ve yükleyin

Kurulum işlemine başlamadan önce yapmanız gerekenler;

  • Resmi belgelerden sistem gereksinimlerini kontrol edin
  • Fortify lisans dosyasını alın. Microfocus indirme sayfasından paketinizi seçin. Fortify Static Code Analyzer'ı arayın, hesabınızı oluşturun ve bir Fortify lisans dosyası edinin.
indirmek
  • Visual Studio Code'un veya desteklenen başka bir kod düzenleyicinin kurulu olduğundan emin olun

Windows'a nasıl yüklenir

  • Kurulum dosyasını çalıştırın
 Fortify_SCA_and_Apps_<version>_windows_x64.exe

Not: <sürüm> yazılım yayın sürümüdür

  • Lisans sözleşmesini kabul ettikten sonra İleri'ye tıklayın.
  • Fortify Static Code Analyzer'ı nereye kuracağınızı seçin ve İleri'ye tıklayın .
  • Yüklemek istediğiniz bileşenleri seçin ve İleri'ye tıklayın.
  • Visual Studio 2015 veya 2017 için bir uzantı yüklüyorsanız kullanıcıları belirtin.
  • fortify.license dosyasının yolunu belirledikten sonra İleri'ye tıklayın .
  • Güvenlik içeriğini güncellemek için gereken ayarları belirtin. URL'yi https://update.fortify.com olarak belirterek Fortify Rulepack güncelleme sunucusunu kullanabilirsiniz. İleri'yi tıklayın.
  • Örnek bir kaynak kodu yüklemek isteyip istemediğinizi belirtin. İleri'yi tıklayın.
  • Fortify SCA ve uygulamalarını yüklemek için İleri'ye tıklayın.
  • Kurulumdan sonra güvenlik içeriğini güncelle'ye ve ardından kurulum tamamlandıktan sonra Bitir'e tıklayın.

Linux'ta nasıl kurulur

Fortify SCA'yı Linux tabanlı bir sisteme kurmak için aynı adımları takip edebilirsiniz. Ancak, ilk adımda bunu kurulum dosyası olarak çalıştırın;

 Fortify_SCA_and_Apps__linux_x64.run

Alternatif olarak, komut satırı istemini kullanarak Fortify SCA'yı kurabilirsiniz.

Terminalinizi açın ve bu komutu çalıştırın

 ./Fortify_SCA_and_Apps__linux_x64.run --mode text

Yükleme işlemini tamamlayana kadar komut satırında belirtilen tüm istemleri izleyin.

Fortify taraması nasıl çalıştırılır

Fortify-tarama-nasıl-çalıştırılır

Kurulumu tamamladığınızda, güvenlik analizi için aracı kurmanın zamanı geldi.

  • Kurulum Dizinine gidin ve komut istemini kullanarak bin klasörüne gidin.
  • scapostinstall. Daha sonra ayarları görüntülemek için s yazabilirsiniz.
  • Bu komutları kullanarak yerel ayarı kurun;

Ayarlar'ı seçmek için 2 yazın.

Genel'i seçmek için 1 yazın.

Yerel Ayarı seçmek için 1 yazın

Dil olarak, dili İngilizce olarak ayarlamak için English: tr yazın.

  • Güvenlik İçeriği güncellemelerini yapılandırın. Ayarlar'ı seçmek için 2 yazın ve ardından Güncellemeyi Güçlendir'i seçmek için tekrar 2 yazın. Artık URL'yi https://update.fortify.com olarak belirterek Fortify Rulepack güncelleme sunucusunu kullanabilirsiniz.
  • Aracın tamamen yüklenip yüklenmediğini kontrol etmek için sourceanalyzer yazın.

Fortify SCA artık arka planda çalışacak ve güvenlik açıkları için tüm kodunuzu kontrol edecektir.

Sarma

Bu internet çağında sistemlerin saldırıya uğraması ve verilerin tehlikeye atılması vakaları yaygınlaştı. Neyse ki, artık Fortify Static Code Analyzer gibi kod yazılırken güvenlik tehditlerini algılayabilen, uyarılar gönderebilen ve bu tür tehditlerin ele alınmasıyla ilgili önerilerde bulunabilen araçlarımız var. Fortify SCA, diğer araçlarla birlikte kullanıldığında üretkenliği artırabilir ve işletme maliyetlerini azaltabilir.

Uygulamanızın güvenliğini artırmak için Yazılım Bileşimi Analizini (SCA) de keşfedebilirsiniz.