什麼是 Fortify SCA,如何安裝?

已發表: 2023-01-13

Fortify 靜態代碼分析器 (SCA) 分析源代碼並查明安全漏洞的根本原因。

Fortify 掃描會優先處理最嚴重的問題,並指導開發人員應如何解決這些問題。

Fortify 靜態代碼分析器

Fortify Static Code Analyzer 具有各種漏洞分析器,例如 Buffer、Content、Control Flow、Dataflow、Semantic、Configuration 和 Structural。 這些分析器中的每一個都接受一種不同類型的規則,這些規則被定制以提供所執行分析類型所需的信息。

Fortify 靜態代碼分析器

Fortify 靜態代碼分析器具有以下組件;

  • 強化掃描嚮導。 它是一種工具,提供在分析之後或之前運行腳本的選項。
  • 審計工作台。 它是一個基於 GUI 的應用程序,用於組織和管理分析的結果。
  • 自定義規則編輯器。 它是一種允許開發人員創建和編輯用於分析的自定義規則的工具。
  • 用於 IntelliJ 和 Android Studio 的插件。 該插件在 IDE 中提供分析結果。
  • Eclipse 插件。 該工具與 Eclipse 集成並在 IDE 中顯示結果。
  • 竹插件。 它是一個從運行分析的 Bamboo Job 收集結果的插件。
  • 詹金斯插件。 這個插件從 Jenkins Job 收集分析結果。

Fortify SCA 的特點

Fortify-SCA 的特點-

#1。 支持多種語言

Fortify SCA 支持的一些語言是: ABAP/BSP、ActionScript、ASP(帶 VBScript)、COBOL、ColdFusion、Apex、ASP.NET、C# (.NET)、C/C++、Classic、VB.NET、VBScript、CFML、Go、HTML、Java(包括 Android )、JavaScript/AJAX、JSP、Kotlin、Visual Basic、MXML (Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL 和 XML。

#2。 靈活的部署選項

  • Fortify On-Prem允許組織完全控制 Fortify SCA 的所有方面。
  • Fortify On Demand使開發人員能夠在軟件即服務環境中工作。
  • Fortify Hosted允許開發人員通過具有完全數據控制的隔離虛擬環境享受兩個世界(按需和本地)。

#3。 與 CI/CD 工具輕鬆集成

  • 開發人員可以輕鬆地將 Fortify SCA 與主要的 IDE(如 Visual Studio 和 Eclipse)集成。
  • 開發人員可以控制各種操作,因為該工具與 Sonatype、WhiteSource、Snyk 和 BlackDuck 等開源工具集成。
  • 您還可以將 Fortify SCA 與遠程代碼存儲庫(例如 Bitbucket 和 GitHub)集成。 因此,該工具可以檢查推送到此類平台的代碼是否存在漏洞並發送報告。

#4。 實時警報

您不必等到完成編碼後再進行測試,因為 Fortify SCA 會在您編碼時提供實時更新。 該工具具有專為提高速度和效率而構建的配置和結構分析器,可幫助您生成安全的應用程序。

#5。 由機器學習提供支持的審計助理

使用使用機器學習算法的 Audit Assistant 可以快速審計系統。 助手識別所有漏洞並根據置信度對它們進行優先級排序。 由於該工俱生成報告,因此組織可以節省審計成本。

#6。 靈活性

用戶可以根據需要選擇他們想要進行的掃描類型。 例如,如果您想要準確和詳細的掃描,您可以選擇全面掃描選項。 如果開發人員只想檢測到主要威脅,他們還可以選擇快速掃描選項。

Fortify SCA 有什麼作用?

Fortify-SCA 做什麼

Fortify SCA 在典型的開發生態系統中扮演著多種角色。 以下是一些角色;

靜態測試有助於構建更好的代碼

靜態應用程序安全測試 (SAST) 有助於在早期開發階段識別安全漏洞。 幸運的是,大多數這些安全漏洞的修復成本都不高。

這種方法降低了應用程序中的安全風險,因為測試會針對開發期間引入代碼的問題提供即時反饋。

開發人員還通過靜態應用程序安全測試了解安全性,因此他們可以開始生產安全軟件。

Fortify SCA 使用廣泛的安全編碼規則知識庫和多種算法來分析軟件應用程序的源代碼以查找安全漏洞。 該方法分析數據和執行可以遵循的任何可行路徑,以識別漏洞並提供補救措施。

及早發現安全問題

Fortify SCA 模仿編譯器。 在 Fortify 掃描之後,此工具讀取源代碼文件並將它們轉換為增強的中間結構以進行安全分析。

所有的安全漏洞都很容易在中間格式中定位。 該工具附帶一個由多個專用分析器組成的分析引擎,這些分析器將使用安全編碼規則來分析代碼是否違反了任何安全編碼實踐規則。

如果您想擴展靜態分析功能並包含自定義規則,Fortify SCA 還附帶一個規則生成器。 可以根據任務和受眾以不同的格式查看此類設置中的結果。

Fortify 軟件安全中心 (SSC) 幫助管理結果

Fortify Software Security Center (SSC) 是一個集中式管理存儲庫,可提供對組織的整個應用程序安全程序的可見性。 通過 SSC,用戶可以在發現安全威脅時審核、審查、確定優先級和管理補救工作。

Fortify SSC 提供了組織中應用程序安全狀況的準確範圍和圖片。 SSC 駐留在中央服務器中,但會接收來自實時、動態和靜態分析等不同應用程序安全測試活動的結果。

Fortify SCA 可以進行哪些類型的代碼分析?

Fortify-SCA 可以做什麼類型的代碼分析

在進行代碼分析時,強化掃描借鑒了有害王國的體系結構。 這些是 Fortify SCA 所做的分析類型;

  • 輸入驗證和表示 -與輸入驗證和表示相關的問題來自替代編碼、數字表示和元字符。 此類問題的示例是“緩衝區溢出”、“跨站點腳本”攻擊和“SQL 注入”,這些問題在用戶信任輸入時出現。
  • API 濫用。 調用者未能遵守合同的結束是最常見的 API 濫用類型。
  • 安全功能。 該測試區分軟件安全和安全軟件。 分析將側重於身份驗證、特權管理、訪問控制、機密性和密碼學問題。
  • 時間和狀態。 計算機可以非常快速地在不同任務之間切換。 時間和狀態分析搜索由線程、信息、進程和時間之間的意外交互引起的缺陷。
  • 錯誤。 Fortify SCA 將檢查錯誤是否向潛在攻擊者提供過多信息。
  • 代碼質量。 糟糕的代碼質量通常會導致不可預測的行為。 但是,如果攻擊者遇到編寫不當的代碼,他們就有機會操縱應用程序以謀取利益。
  • 封裝。 這是劃定界限的過程。 這種分析可能意味著區分經過驗證和未經驗證的數據。

下載並安裝 Fortify SCA

在開始安裝過程之前,您必須;

  • 從官方文檔中查看系統要求
  • 獲取 Fortify 許可證文件。 從 Microfocus 下載頁面選擇您的包。 搜索 Fortify Static Code Analyzer,創建您的帳戶,並獲取 Fortify 許可證文件。
下載
  • 確保您已安裝 Visual Studio Code 或其他受支持的代碼編輯器

如何在 Windows 上安裝

  • 運行安裝程序文件
Fortify_SCA_and_Apps_<version>_windows_x64.exe

注意:<version> 是軟件發布版本

  • 接受許可協議後點擊下一步
  • 選擇安裝 Fortify 靜態代碼分析器的位置,然後單擊下一步。
  • 選擇要安裝的組件,然後單擊“下一步”。
  • 如果要安裝 Visual Studio 2015 或 2017 的擴展,請指定用戶。
  • 指定fortify.license文件的路徑後單擊下一步
  • 指定更新安全內容所需的設置。 您可以通過將 URL 指定為 https://update.fortify.com 來使用 Fortify Rulepack 更新服務器。 單擊下一步
  • 指定是否要安裝樣本源代碼。 單擊下一步
  • 單擊下一步安裝 Fortify SCA 和應用程序。
  • 安裝後單擊更新安全內容,然後在安裝完成後單擊完成。

如何在 Linux 上安裝

您可以按照相同的步驟在基於 Linux 的系統上安裝 Fortify SCA。 但是,在第一步中,將其作為安裝程序文件運行;

 Fortify_SCA_and_Apps__linux_x64.run

您也可以使用命令行提示符安裝 Fortify SCA。

打開你的終端並運行這個命令

./Fortify_SCA_and_Apps__linux_x64.run --mode text

按照命令行上的指示執行所有提示,直到完成安裝過程。

如何運行強化掃描

如何運行強化掃描

安裝完成後,就可以設置安全分析工具了。

  • 轉到安裝目錄並使用命令提示符導航到 bin 文件夾。
  • scapostinstall. 然後您可以鍵入 s 以顯示設置。
  • 使用這些命令設置語言環境;

鍵入 2 以選擇設置。

鍵入 1 以選擇常規。

鍵入 1 以選擇區域設置

對於語言,鍵入English: en以將語言設置為英語。

  • 配置安全內容更新。 鍵入 2 以選擇設置,然後再次鍵入 2 以選擇 Fortify 更新。 您現在可以通過將 URL 指定為 https://update.fortify.com 來使用 Fortify Rulepack 更新服務器。
  • 鍵入sourceanalyzer以檢查該工具是否已完全安裝。

Fortify SCA 現在將在後台運行並檢查所有代碼是否存在安全漏洞。

包起來

在這個互聯網時代,系統被黑客入侵和數據被洩露的案例已經變得十分猖獗。 幸運的是,我們現在擁有 Fortify Static Code Analyzer 等工具,可以在編寫代碼時檢測安全威脅、發送警報並提供處理此類威脅的建議。 與其他工具一起使用時,Fortify SCA 可以提高生產力並降低運營成本。

您還可以探索軟件組合分析 (SCA) 來提高應用程序的安全性。