A Fortify Static Code Analyzer (SCA) elemzi a forráskódot, és meghatározza a biztonsági rések kiváltó okát.
A Fortify vizsgálat előtérbe helyezi a legsúlyosabb problémákat, és útmutatást ad a fejlesztőknek, hogyan javítsák ki őket.
Tartalomjegyzék
Fortify Static Code Analyzer
A Fortify Static Code Analyzer különféle sebezhetőség-elemzőkkel rendelkezik, például puffer, tartalom, vezérlési folyamat, adatfolyam, szemantikai, konfigurációs és strukturális. Ezen analizátorok mindegyike másfajta szabályt fogad el, amely az elvégzett elemzés típusához szükséges információkat kínál.
A Fortify Static Code Analyzer a következő összetevőkkel rendelkezik;
- Fortify Scan Wizard. Ez egy olyan eszköz, amely lehetőséget kínál szkriptek futtatására az elemzés után vagy előtt.
- Audit munkapad. Ez egy grafikus felhasználói felület alapú alkalmazás, amely rendszerezi és kezeli az elemzett eredményeket.
- Egyéni szabályok szerkesztője. Ez egy olyan eszköz, amellyel a fejlesztők egyéni elemzési szabályokat hozhatnak létre és szerkeszthetnek.
- Beépülő modul az IntelliJ és az Android Studio számára. Ez a beépülő modul elemzési eredményeket biztosít az IDE-n belül.
- Beépülő modul az Eclipse-hez. Ez az eszköz integrálva van az Eclipse-be, és az IDE-n belül jeleníti meg az eredményeket.
- Bamboo Plugin. Ez egy bővítmény, amely összegyűjti az elemzést futtató Bamboo Job eredményeit.
- Jenkins plugin. Ez a bővítmény a Jenkins Job elemzési eredményeit gyűjti össze.
A Fortify SCA jellemzői
#1. Több nyelvet támogat
A Fortify SCA által támogatott nyelvek közül néhány: ABAP/BSP, ActionScript, ASP (VBScripttel), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (beleértve az Androidot is) ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL és XML.
#2. Rugalmas telepítési lehetőségek
- A Fortify On-Prem lehetővé teszi a szervezet számára a Fortify SCA minden aspektusának teljes ellenőrzését.
- A Fortify On Demand lehetővé teszi a fejlesztők számára, hogy Software As Service környezetben dolgozzanak.
- A Fortify Hosted lehetővé teszi a fejlesztők számára, hogy mindkét világot (On Demand és On-Prem) élvezzék egy elszigetelt virtuális környezetben, teljes adatkezeléssel.
#3. Könnyen integrálható a CI/CD eszközökkel
- A fejlesztők könnyedén integrálhatják a Fortify SCA-t a főbb IDE-kkel, mint például a Visual Studio és az Eclipse.
- A fejlesztők különféle műveleteket irányíthatnak, mivel az eszköz integrálható olyan nyílt forráskódú eszközökkel, mint a Sonatype, a WhiteSource, a Snyk és a BlackDuck.
- A Fortify SCA-t olyan távoli kódtárolókkal is integrálhatja, mint a Bitbucket és a GitHub. Az eszköz így ellenőrizheti az ilyen platformokra továbbított kódot sebezhetőség szempontjából, és jelentéseket küldhet.
#4. Valós idejű riasztások
A tesztek elvégzéséhez nem kell megvárnia, amíg elkészül a kódolással, mivel a Fortify SCA valós idejű frissítéseket ad a kódolás során. Az eszköz konfigurációs és szerkezeti elemzőkkel rendelkezik a sebesség és a hatékonyság érdekében, és segít biztonságos alkalmazások létrehozásában.
#5. Audit Assistant gépi tanulással
A rendszer auditálása gyors az Audit Assistant segítségével, amely gépi tanulási algoritmusokat használ. Az asszisztens azonosítja az összes sebezhetőséget, és a megbízhatósági szint alapján rangsorolja őket. A szervezetek így megtakaríthatják az auditálási költségeket, mivel az eszköz jelentéseket készít.
#6. Rugalmasság
A felhasználók igényeik alapján kiválaszthatják, hogy milyen típusú vizsgálatot szeretnének végrehajtani. Például, ha pontos és részletes szkennelést szeretne, választhatja az átfogó vizsgálat opciót. A fejlesztők a gyors vizsgálatot is választhatják, ha csak a nagyobb fenyegetéseket szeretnék észlelni.
Mit csinál a Fortify SCA?
A Fortify SCA számos szerepet tölt be egy tipikus fejlesztési ökoszisztémában. Az alábbiakban bemutatunk néhány szerepkört;
A statikus tesztelés segít jobb kód felépítésében
A statikus alkalmazásbiztonsági tesztelés (SAST) segít a biztonsági rések azonosításában a fejlesztés korai szakaszában. Szerencsére ezeknek a biztonsági réseknek a legtöbbje olcsón javítható.
Ez a megközelítés csökkenti az alkalmazások biztonsági kockázatait, mivel a tesztelés azonnali visszajelzést ad a fejlesztés során a kódolás során felmerült problémákról.
A Static Application Security Testing segítségével a fejlesztők a biztonságról is tanulnak, és így megkezdhetik a biztonságos szoftverek gyártását.
A Fortify SCA a biztonságos kódolási szabályok és többféle algoritmus kiterjedt tudásbázisát használja a szoftveralkalmazások forráskódjának biztonsági sebezhetőségeinek elemzéséhez. A megközelítés elemzi az adatok és a végrehajtás bármely lehetséges útvonalát a sebezhetőségek azonosítása és a jogorvoslatok felkínálása érdekében.
Korán megtalálja a biztonsági problémákat
A Fortify SCA egy fordítóprogramot utánoz. A Fortify vizsgálat után ez az eszköz beolvassa a forráskód fájlokat, és átalakítja azokat egy köztes struktúrává, amelyet továbbfejlesztettek a biztonsági elemzéshez.
Az összes biztonsági rést könnyű megtalálni a köztes formátumban. Az eszközhöz több speciális elemzőből álló elemzőmotor tartozik, amelyek biztonságos kódolási szabályokat használnak annak elemzésére, hogy a kód sérti-e a biztonságos kódolási gyakorlat szabályait.
A Fortify SCA szabálykészítővel is rendelkezik, ha bővíteni szeretné a statikus elemzési képességeket, és egyéni szabályokat szeretne beépíteni. Az eredmények egy ilyen beállításnál a feladattól és a közönségtől függően különböző formátumokban tekinthetők meg.
A Fortify Software Security Center (SSC) segít az eredmények kezelésében
A Fortify Software Security Center (SSC) egy központi felügyeleti adattár, amely a szervezet teljes alkalmazásbiztonsági programjának láthatóságát kínálja. Az SSC-n keresztül a felhasználók ellenőrizhetik, áttekinthetik, rangsorolhatják és kezelhetik a jogorvoslati erőfeszítéseket, ha biztonsági fenyegetéseket észlelnek.
A Fortify SSC pontos hatókört és képet nyújt a szervezet alkalmazásbiztonsági helyzetéről. Az SSC egy központi szerveren található, de különböző alkalmazásbiztonsági tesztelési tevékenységek eredményeit kapja, a valós idejű, dinamikustól a statikus elemzésig.
Milyen típusú kódelemzésre képes a Fortify SCA?
A fortify scan a kártékony királyságok architektúrájából kölcsönöz a kódelemzés során. A Fortify SCA ilyen típusú elemzéseket végez;
- Bemeneti ellenőrzés és reprezentáció – a bemeneti ellenőrzéssel és reprezentációval kapcsolatos problémák alternatív kódolásokból, numerikus reprezentációkból és metakarakterekből származnak. Ilyen problémák például a „puffer túlcsordulás”, a „helyközi parancsfájl-kezelés” támadások és az „SQL-injekció”, amelyek akkor fordulnak elő, ha a felhasználók megbíznak a bemenetekben.
- API visszaélés. Az API visszaélések leggyakoribb típusa, ha a hívó fél nem tartja be a szerződés végét.
- Biztonsági jellemzők. Ez a teszt különbséget tesz a szoftverbiztonság és a biztonsági szoftver között. Az elemzés középpontjában a hitelesítés, a jogosultságkezelés, a hozzáférés-szabályozás, a titoktartás és a kriptográfiai kérdések állnak.
- Idő és állapot. A számítógépek nagyon gyorsan tudnak váltani a különböző feladatok között. Az idő- és állapotelemzés a szálak, információk, folyamatok és idő közötti váratlan kölcsönhatásokból eredő hibákat keresi.
- Hibák. A Fortify SCA ellenőrzi, hogy a hibák túl sok információt adnak-e a potenciális támadóknak.
- Kód minősége. A rossz kódminőség általában kiszámíthatatlan viselkedéshez vezet. A támadóknak azonban lehetőségük nyílik arra, hogy előnyükre manipuláljanak egy alkalmazást, ha rosszul megírt kódra bukkannak.
- Egységbezárás. Ez az erős határok meghúzásának folyamata. Egy ilyen elemzés jelentheti a validált és a nem validált adatok megkülönböztetését.
Töltse le és telepítse a Fortify SCA-t
A telepítési folyamat megkezdése előtt meg kell tennie;
- Ellenőrizze a rendszerkövetelményeket a hivatalos dokumentációból
- Szerezze be a Fortify licencfájlt. Válassza ki a csomagot a Microfocus letöltési oldalán. Keresse meg a Fortify Static Code Analyzer elemet, hozzon létre fiókot, és szerezzen be egy Fortify licencfájlt.
- Győződjön meg arról, hogy telepítve van a Visual Studio Code vagy egy másik támogatott kódszerkesztő
Hogyan telepítsünk Windowsra
Fortify_SCA_and_Apps_<version>_windows_x64.exe
Megjegyzés: A
- A licencszerződés elfogadása után kattintson a Tovább gombra.
- Válassza ki a Fortify Static Code Analyzer telepítési helyét, majd kattintson a Tovább gombra.
- Válassza ki a telepíteni kívánt összetevőket, majd kattintson a Tovább gombra.
- Adja meg a felhasználókat, ha bővítményt telepít a Visual Studio 2015 vagy 2017 számára.
- Kattintson a Tovább gombra, miután megadta a fortify.license fájl elérési útját.
- Adja meg a biztonsági tartalom frissítéséhez szükséges beállításokat. A Fortify Rulepack frissítési kiszolgálót úgy használhatja, hogy az URL-címet a következőképpen adja meg: https://update.fortify.com. Kattintson a Tovább gombra.
- Adja meg, hogy szeretne-e mintaforráskódot telepíteni. Kattintson a Tovább gombra.
- Kattintson a Tovább gombra a Fortify SCA és alkalmazások telepítéséhez.
- Kattintson a Biztonsági tartalom frissítése a telepítés után, majd a Befejezés gombra a telepítés befejezése után.
Hogyan telepítsünk Linuxra
Ugyanezeket a lépéseket követve telepítheti a Fortify SCA-t Linux alapú rendszerre. Azonban az első lépésben futtassa ezt telepítőfájlként;
Fortify_SCA_and_Apps__linux_x64.run
Alternatív megoldásként telepítheti a Fortify SCA-t a parancssori prompt használatával.
Nyissa meg a terminált, és futtassa ezt a parancsot
./Fortify_SCA_and_Apps__linux_x64.run --mode text
Kövesse az összes utasítást a parancssorban, amíg be nem fejezi a telepítési folyamatot.
A Fortify vizsgálat futtatása
Ha végzett a telepítéssel, ideje beállítani az eszközt a biztonsági elemzéshez.
- Menjen az Installation Directory (Telepítési könyvtár) oldalra, és a parancssor segítségével navigáljon a bin mappához.
- Írja be a scapostinstall parancsot. Ezután beírhatja az s karaktert a beállítások megjelenítéséhez.
- Állítsa be a területi beállításokat ezekkel a parancsokkal;
Írja be a 2-t a Beállítások kiválasztásához.
Írja be az 1-et az Általános kiválasztásához.
Írja be az 1-et a Locale kiválasztásához
Nyelvként írja be az English: en parancsot, hogy a nyelvet angolra állítsa.
- Biztonsági tartalomfrissítések konfigurálása. Írja be a 2-t a Beállítások kiválasztásához, majd írja be újra a 2-t a Frissítés megerősítése kiválasztásához. Mostantól használhatja a Fortify Rulepack frissítési kiszolgálót, ha az URL-címet a következőképpen adja meg: https://update.fortify.com.
- Írja be a sourceanalyzer parancsot, hogy ellenőrizze, hogy az eszköz teljesen telepítve van-e.
A Fortify SCA mostantól a háttérben fog futni, és ellenőrzi az összes kódot biztonsági réseket keresve.
Becsomagolás
Az internetes korszakban elburjánzottak a rendszerek feltörésének és az adatok veszélyeztetésének esetei. Szerencsére ma már olyan eszközökkel rendelkezünk, mint a Fortify Static Code Analyzer, amely kódírás közben képes észlelni a biztonsági fenyegetéseket, riasztásokat küldeni és ajánlásokat adni az ilyen fenyegetések kezelésére. A Fortify SCA növelheti a termelékenységet és csökkentheti a működési költségeket, ha más eszközökkel együtt használják.
Alkalmazása biztonságának javítása érdekében felfedezheti a Software Composition Analysis (SCA) szolgáltatást is.