Какво е Fortify SCA и как да го инсталирате?

от

Fortify Static Code Analyzer (SCA) анализира изходния код и посочва основната причина за уязвимостите в сигурността.

Сканирането на Fortify дава приоритет на най-сериозните проблеми и напътства как разработчиците трябва да ги коригират.

Укрепете анализатор на статичен код

Fortify Static Code Analyzer има различни анализатори на уязвимости като буфер, съдържание, контролен поток, поток от данни, семантичен, конфигурационен и структурен. Всеки от тези анализатори приема различен вид правило, пригодено да предлага информация, необходима за типа извършен анализ.

Fortify Static Code Analyzer има следните компоненти;

  • Съветник за сканиране на Fortify. Това е инструмент, който предлага опции за стартиране на скриптове след или преди анализа.
  • Работна маса за одит. Това е GUI-базирано приложение, което организира и управлява анализираните резултати.
  • Редактор на персонализирани правила. Това е инструмент, който позволява на разработчиците да създават и редактират персонализирани правила за анализ.
  • Добавка за IntelliJ и Android Studio. Този плъгин предоставя резултати от анализ в рамките на IDE.
  • Плъгин за Eclipse. Този инструмент е интегриран с Eclipse и показва резултатите в рамките на IDE.
  • Bamboo плъгин. Това е плъгин, който събира резултатите от Bamboo Job, който изпълнява анализ.
  • Дженкинс плъгин. Този плъгин събира резултати от анализи от Jenkins Job.

Характеристики на Fortify SCA

#1. Поддържа множество езици

Някои от езиците, поддържани от Fortify SCA са; ABAP/BSP, ActionScript, ASP (с VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (включително Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL и XML.

#2. Гъвкави опции за внедряване

  • Fortify On-Prem позволява на организацията пълен контрол върху всички аспекти на Fortify SCA.
  • Fortify On Demand позволява на разработчиците да работят в среда на софтуер като услуга.
  • Fortify Hosted позволява на разработчиците да се наслаждават и на двата свята (On Demand и On-Prem) чрез изолирана виртуална среда с пълен контрол на данните.
  Как да размажете снимка или изображение

#3. Интегрира се лесно с CI/CD инструменти

  • Разработчиците могат лесно да интегрират Fortify SCA с основни IDE като Visual Studio и Eclipse.
  • Разработчиците имат контрол върху различни действия, тъй като инструментът се интегрира с инструменти с отворен код като Sonatype, WhiteSource, Snyk и BlackDuck.
  • Можете също така да интегрирате Fortify SCA с отдалечени хранилища на кодове като Bitbucket и GitHub. По този начин инструментът може да проверява кода, изпратен към такива платформи, за уязвимости и да изпраща доклади.

#4. Сигнали в реално време

Не е нужно да чакате, докато приключите с кодирането, за да направите вашите тестове, тъй като Fortify SCA предоставя актуализации в реално време, докато кодирате. Инструментът има конфигурационни и структурни анализатори, изградени за бързина и ефективност и ви помага да създавате сигурни приложения.

#5. Асистент за одит, задвижван от машинно обучение

Одитът на система е бърз с помощта на Audit Assistant, който използва алгоритми за машинно обучение. Асистентът идентифицира всички уязвимости и ги приоритизира въз основа на нивото на доверие. По този начин организациите могат да спестят разходи за одит, тъй като инструментът генерира отчети.

#6. Гъвкавост

Потребителите могат да изберат типа сканиране, което искат да извършат въз основа на техните нужди. Например, ако искате точни и подробни сканирания, можете да изберете опцията за цялостно сканиране. Разработчиците могат също да изберат опцията за бързо сканиране, ако искат да бъдат открити само големи заплахи.

Какво прави Fortify SCA?

Fortify SCA има няколко роли в типична екосистема за разработка. Следват някои от ролите;

Статичното тестване помага за изграждането на по-добър код

Статичното тестване на сигурността на приложенията (SAST) помага за идентифициране на уязвимости в сигурността в ранните етапи на разработка. За щастие повечето от тези уязвимости в сигурността не са скъпи за отстраняване.

Такъв подход намалява рисковете за сигурността в приложенията, тъй като тестването осигурява незабавна обратна връзка относно проблемите, въведени в кода по време на разработката.

Разработчиците също научават за сигурността чрез статично тестване на сигурността на приложенията и по този начин могат да започнат да произвеждат защитен софтуер.

Fortify SCA използва широка база от знания за правила за защитено кодиране и множество алгоритми за анализиране на изходния код на софтуерно приложение за уязвимости в сигурността. Подходът анализира всеки възможен път, който данните и изпълнението могат да следват, за да идентифицира уязвимостите и да предложи средства за защита.

Открива навреме проблеми със сигурността

Fortify SCA имитира компилатор. След сканиране на Fortify, този инструмент чете файловете с изходния код и ги преобразува в междинна структура, подобрена за анализ на сигурността.

  6 най-добри приставки за прикриване на връзки в WordPress за партньори

Всички уязвимости в сигурността са лесни за локализиране в междинния формат. Инструментът идва с механизъм за анализ, съставен от множество специализирани анализатори, които след това ще използват правила за защитено кодиране, за да анализират дали кодът нарушава някои правила за практики за безопасно кодиране.

Fortify SCA също идва с инструмент за създаване на правила, ако искате да разширите възможностите за статичен анализ и да включите персонализирани правила. Резултатите в такава настройка могат да се видят в различни формати в зависимост от задачата и аудиторията.

Fortify Software Security Center (SSC) помага за управлението на резултатите

Fortify Software Security Center (SSC) е централизирано хранилище за управление, което предлага видимост на цялата програма за сигурност на приложенията на организацията. Чрез SSC потребителите могат да проверяват, преглеждат, приоритизират и управляват усилията за коригиране, когато бъдат идентифицирани заплахи за сигурността.

Fortify SSC предлага точен обхват и картина на състоянието на сигурността на приложението в една организация. SSC се намира в централен сървър, но получава резултати от различни дейности за тестване на сигурността на приложенията, вариращи от анализ в реално време, динамичен до статичен.

Какъв тип анализ на код може да направи Fortify SCA?

Сканирането за укрепване заимства от архитектурата на пагубните кралства, когато прави анализ на кода. Това са видовете анализи, които Fortify SCA прави;

  • Валидиране и представяне на входа – проблемите, свързани с валидирането и представянето на входа, идват от алтернативни кодировки, цифрови представяния и метасимволи. Примери за такива проблеми са „Препълване на буфера“, „Cross-Site Scripting“ атаки и „SQL инжектиране“, които възникват, когато потребителите се доверяват на входове.
  • Злоупотреба с API. Обаждащият се не спази края на договора е най-често срещаният тип злоупотреба с API.
  • Функции за сигурност. Този тест прави разлика между софтуер за сигурност и софтуер за сигурност. Анализът ще се съсредоточи върху проблеми с удостоверяването, управлението на привилегиите, контрола на достъпа, поверителността и криптографията.
  • Време и държава. Компютрите могат много бързо да превключват между различни задачи. Анализът на времето и състоянието търси дефекти, възникващи от неочаквани взаимодействия между нишки, информация, процеси и време.
  • Грешки. Fortify SCA ще провери дали грешките дават твърде много информация на потенциалните нападатели.
  • Качество на кода. Лошото качество на кода обикновено води до непредвидимо поведение. Нападателите обаче могат да имат шанс да манипулират приложение в своя полза, ако попаднат на код, който е написан зле.
  • Капсулиране. Това е процесът на очертаване на силни граници. Такъв анализ може да означава разграничаване между валидирани и невалидирани данни.
  Как да търсите конкретна област в Google Maps

Изтеглете и инсталирайте Fortify SCA

Преди да започнете инсталационния процес, трябва;

  • Проверете системните изисквания от официалната документация
  • Вземете лицензен файл на Fortify. Изберете вашия пакет от страницата за изтегляне на Microfocus. Потърсете Fortify Static Code Analyzer, създайте своя акаунт и вземете файл с лиценз на Fortify.

  • Уверете се, че имате инсталиран Visual Studio Code или друг поддържан редактор на код

Как да инсталирате на Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

NB: е версията на софтуерната версия

  • Щракнете върху Напред, след като приемете лицензионното споразумение.
  • Изберете къде да инсталирате Fortify Static Code Analyzer и щракнете върху Напред.
  • Изберете компонентите, които искате да инсталирате, и щракнете върху Напред.
  • Посочете потребители, ако инсталирате разширение за Visual Studio 2015 или 2017.
  • Щракнете върху Напред, след като посочите пътя за файла fortify.license.
  • Задайте настройките, необходими за актуализиране на защитното съдържание. Можете да използвате сървъра за актуализиране на Fortify Rulepack, като посочите URL като https://update.fortify.com. Щракнете Напред.
  • Посочете дали искате да инсталирате примерен изходен код. Щракнете Напред.
  • Щракнете върху Напред, за да инсталирате Fortify SCA и приложения.
  • Щракнете върху Актуализиране на защитното съдържание след инсталирането и след това върху Готово, след като инсталацията приключи.

Как да инсталирате на Linux

Можете да следвате същите стъпки, за да инсталирате Fortify SCA на базирана на Linux система. Въпреки това, на първата стъпка стартирайте това като инсталационния файл;

Fortify_SCA_and_Apps__linux_x64.run

Можете алтернативно да инсталирате Fortify SCA, като използвате командния ред.

Отворете вашия терминал и изпълнете тази команда 

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Следвайте всички подкани, както е указано в командния ред, докато завършите инсталационния процес.

Как да стартирате сканиране на Fortify

След като приключите с инсталацията, е време да настроите инструмента за анализ на сигурността.

  • Преминете към инсталационната директория и отидете до папката bin, като използвате командния ред.
  • Въведете scapostinstall. След това можете да въведете s, за да покажете настройките.
  • Настройте локала с помощта на тези команди;

Въведете 2, за да изберете Настройки.

Въведете 1, за да изберете Общи.

Въведете 1, за да изберете Locale

За език въведете английски: en, за да зададете езика като английски.

  • Конфигурирайте актуализации на съдържанието за защита. Въведете 2, за да изберете Настройки и след това въведете 2 отново, за да изберете Укрепване на актуализацията. Вече можете да използвате сървъра за актуализиране на Fortify Rulepack, като посочите URL като https://update.fortify.com.
  • Въведете sourceanalyzer, за да проверите дали инструментът е напълно инсталиран.

Fortify SCA вече ще работи във фонов режим и ще проверява целия ви код за уязвимости в сигурността.

Обобщавайки

Случаите на хакнати системи и компрометирани данни станаха масови в тази интернет ера. За щастие вече имаме инструменти като Fortify Static Code Analyzer, които могат да откриват заплахи за сигурността, докато се пише код, да изпращат предупреждения и да дават препоръки за справяне с такива заплахи. Fortify SCA може да увеличи производителността и да намали оперативните разходи, когато се използва с други инструменти.

Можете също да проучите анализ на състава на софтуера (SCA), за да подобрите сигурността на вашето приложение.