Mi az a Fortify SCA, és hogyan kell telepíteni?

Szerző:
Tweet
Share
Share
Pin

A Fortify Static Code Analyzer (SCA) elemzi a forráskódot, és meghatározza a biztonsági rések kiváltó okát.

A Fortify vizsgálat előtérbe helyezi a legsúlyosabb problémákat, és útmutatást ad a fejlesztőknek, hogyan javítsák ki őket.

Fortify Static Code Analyzer

A Fortify Static Code Analyzer különféle sebezhetőség-elemzőkkel rendelkezik, például puffer, tartalom, vezérlési folyamat, adatfolyam, szemantikai, konfigurációs és strukturális. Ezen analizátorok mindegyike másfajta szabályt fogad el, amely az elvégzett elemzés típusához szükséges információkat kínál.

A Fortify Static Code Analyzer a következő összetevőkkel rendelkezik;

  • Fortify Scan Wizard. Ez egy olyan eszköz, amely lehetőséget kínál szkriptek futtatására az elemzés után vagy előtt.
  • Audit munkapad. Ez egy grafikus felhasználói felület alapú alkalmazás, amely rendszerezi és kezeli az elemzett eredményeket.
  • Egyéni szabályok szerkesztője. Ez egy olyan eszköz, amellyel a fejlesztők egyéni elemzési szabályokat hozhatnak létre és szerkeszthetnek.
  • Beépülő modul az IntelliJ és az Android Studio számára. Ez a beépülő modul elemzési eredményeket biztosít az IDE-n belül.
  • Beépülő modul az Eclipse-hez. Ez az eszköz integrálva van az Eclipse-be, és az IDE-n belül jeleníti meg az eredményeket.
  • Bamboo Plugin. Ez egy bővítmény, amely összegyűjti az elemzést futtató Bamboo Job eredményeit.
  • Jenkins plugin. Ez a bővítmény a Jenkins Job elemzési eredményeit gyűjti össze.

A Fortify SCA jellemzői

#1. Több nyelvet támogat

A Fortify SCA által támogatott nyelvek közül néhány: ABAP/BSP, ActionScript, ASP (VBScripttel), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (beleértve az Androidot is) ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL és XML.

#2. Rugalmas telepítési lehetőségek

  • A Fortify On-Prem lehetővé teszi a szervezet számára a Fortify SCA minden aspektusának teljes ellenőrzését.
  • A Fortify On Demand lehetővé teszi a fejlesztők számára, hogy Software As Service környezetben dolgozzanak.
  • A Fortify Hosted lehetővé teszi a fejlesztők számára, hogy mindkét világot (On Demand és On-Prem) élvezzék egy elszigetelt virtuális környezetben, teljes adatkezeléssel.
  Miért érdemes megtanulnia a ReactJS-t és a 12 legjobb forrást, amelyből tanulhat

#3. Könnyen integrálható a CI/CD eszközökkel

  • A fejlesztők könnyedén integrálhatják a Fortify SCA-t a főbb IDE-kkel, mint például a Visual Studio és az Eclipse.
  • A fejlesztők különféle műveleteket irányíthatnak, mivel az eszköz integrálható olyan nyílt forráskódú eszközökkel, mint a Sonatype, a WhiteSource, a Snyk és a BlackDuck.
  • A Fortify SCA-t olyan távoli kódtárolókkal is integrálhatja, mint a Bitbucket és a GitHub. Az eszköz így ellenőrizheti az ilyen platformokra továbbított kódot sebezhetőség szempontjából, és jelentéseket küldhet.

#4. Valós idejű riasztások

A tesztek elvégzéséhez nem kell megvárnia, amíg elkészül a kódolással, mivel a Fortify SCA valós idejű frissítéseket ad a kódolás során. Az eszköz konfigurációs és szerkezeti elemzőkkel rendelkezik a sebesség és a hatékonyság érdekében, és segít biztonságos alkalmazások létrehozásában.

#5. Audit Assistant gépi tanulással

A rendszer auditálása gyors az Audit Assistant segítségével, amely gépi tanulási algoritmusokat használ. Az asszisztens azonosítja az összes sebezhetőséget, és a megbízhatósági szint alapján rangsorolja őket. A szervezetek így megtakaríthatják az auditálási költségeket, mivel az eszköz jelentéseket készít.

#6. Rugalmasság

A felhasználók igényeik alapján kiválaszthatják, hogy milyen típusú vizsgálatot szeretnének végrehajtani. Például, ha pontos és részletes szkennelést szeretne, választhatja az átfogó vizsgálat opciót. A fejlesztők a gyors vizsgálatot is választhatják, ha csak a nagyobb fenyegetéseket szeretnék észlelni.

Mit csinál a Fortify SCA?

A Fortify SCA számos szerepet tölt be egy tipikus fejlesztési ökoszisztémában. Az alábbiakban bemutatunk néhány szerepkört;

A statikus tesztelés segít jobb kód felépítésében

A statikus alkalmazásbiztonsági tesztelés (SAST) segít a biztonsági rések azonosításában a fejlesztés korai szakaszában. Szerencsére ezeknek a biztonsági réseknek a legtöbbje olcsón javítható.

Ez a megközelítés csökkenti az alkalmazások biztonsági kockázatait, mivel a tesztelés azonnali visszajelzést ad a fejlesztés során a kódolás során felmerült problémákról.

A Static Application Security Testing segítségével a fejlesztők a biztonságról is tanulnak, és így megkezdhetik a biztonságos szoftverek gyártását.

A Fortify SCA a biztonságos kódolási szabályok és többféle algoritmus kiterjedt tudásbázisát használja a szoftveralkalmazások forráskódjának biztonsági sebezhetőségeinek elemzéséhez. A megközelítés elemzi az adatok és a végrehajtás bármely lehetséges útvonalát a sebezhetőségek azonosítása és a jogorvoslatok felkínálása érdekében.

Korán megtalálja a biztonsági problémákat

A Fortify SCA egy fordítóprogramot utánoz. A Fortify vizsgálat után ez az eszköz beolvassa a forráskód fájlokat, és átalakítja azokat egy köztes struktúrává, amelyet továbbfejlesztettek a biztonsági elemzéshez.

  Hogyan lehet törölni egy GitHub adattárat?

Az összes biztonsági rést könnyű megtalálni a köztes formátumban. Az eszközhöz több speciális elemzőből álló elemzőmotor tartozik, amelyek biztonságos kódolási szabályokat használnak annak elemzésére, hogy a kód sérti-e a biztonságos kódolási gyakorlat szabályait.

A Fortify SCA szabálykészítővel is rendelkezik, ha bővíteni szeretné a statikus elemzési képességeket, és egyéni szabályokat szeretne beépíteni. Az eredmények egy ilyen beállításnál a feladattól és a közönségtől függően különböző formátumokban tekinthetők meg.

A Fortify Software Security Center (SSC) segít az eredmények kezelésében

A Fortify Software Security Center (SSC) egy központi felügyeleti adattár, amely a szervezet teljes alkalmazásbiztonsági programjának láthatóságát kínálja. Az SSC-n keresztül a felhasználók ellenőrizhetik, áttekinthetik, rangsorolhatják és kezelhetik a jogorvoslati erőfeszítéseket, ha biztonsági fenyegetéseket észlelnek.

A Fortify SSC pontos hatókört és képet nyújt a szervezet alkalmazásbiztonsági helyzetéről. Az SSC egy központi szerveren található, de különböző alkalmazásbiztonsági tesztelési tevékenységek eredményeit kapja, a valós idejű, dinamikustól a statikus elemzésig.

Milyen típusú kódelemzésre képes a Fortify SCA?

A fortify scan a kártékony királyságok architektúrájából kölcsönöz a kódelemzés során. A Fortify SCA ilyen típusú elemzéseket végez;

  • Bemeneti ellenőrzés és reprezentáció – a bemeneti ellenőrzéssel és reprezentációval kapcsolatos problémák alternatív kódolásokból, numerikus reprezentációkból és metakarakterekből származnak. Ilyen problémák például a „puffer túlcsordulás”, a „helyközi parancsfájl-kezelés” támadások és az „SQL-injekció”, amelyek akkor fordulnak elő, ha a felhasználók megbíznak a bemenetekben.
  • API visszaélés. Az API visszaélések leggyakoribb típusa, ha a hívó fél nem tartja be a szerződés végét.
  • Biztonsági jellemzők. Ez a teszt különbséget tesz a szoftverbiztonság és a biztonsági szoftver között. Az elemzés középpontjában a hitelesítés, a jogosultságkezelés, a hozzáférés-szabályozás, a titoktartás és a kriptográfiai kérdések állnak.
  • Idő és állapot. A számítógépek nagyon gyorsan tudnak váltani a különböző feladatok között. Az idő- és állapotelemzés a szálak, információk, folyamatok és idő közötti váratlan kölcsönhatásokból eredő hibákat keresi.
  • Hibák. A Fortify SCA ellenőrzi, hogy a hibák túl sok információt adnak-e a potenciális támadóknak.
  • Kód minősége. A rossz kódminőség általában kiszámíthatatlan viselkedéshez vezet. A támadóknak azonban lehetőségük nyílik arra, hogy előnyükre manipuláljanak egy alkalmazást, ha rosszul megírt kódra bukkannak.
  • Egységbezárás. Ez az erős határok meghúzásának folyamata. Egy ilyen elemzés jelentheti a validált és a nem validált adatok megkülönböztetését.

Töltse le és telepítse a Fortify SCA-t

A telepítési folyamat megkezdése előtt meg kell tennie;

  • Ellenőrizze a rendszerkövetelményeket a hivatalos dokumentációból
  • Szerezze be a Fortify licencfájlt. Válassza ki a csomagot a Microfocus letöltési oldalán. Keresse meg a Fortify Static Code Analyzer elemet, hozzon létre fiókot, és szerezzen be egy Fortify licencfájlt.
  Miért szeretem az Apple Watchomat?

  • Győződjön meg arról, hogy telepítve van a Visual Studio Code vagy egy másik támogatott kódszerkesztő

Hogyan telepítsünk Windowsra

Fortify_SCA_and_Apps_<version>_windows_x64.exe

Megjegyzés: A a szoftver kiadásának verziója

  • A licencszerződés elfogadása után kattintson a Tovább gombra.
  • Válassza ki a Fortify Static Code Analyzer telepítési helyét, majd kattintson a Tovább gombra.
  • Válassza ki a telepíteni kívánt összetevőket, majd kattintson a Tovább gombra.
  • Adja meg a felhasználókat, ha bővítményt telepít a Visual Studio 2015 vagy 2017 számára.
  • Kattintson a Tovább gombra, miután megadta a fortify.license fájl elérési útját.
  • Adja meg a biztonsági tartalom frissítéséhez szükséges beállításokat. A Fortify Rulepack frissítési kiszolgálót úgy használhatja, hogy az URL-címet a következőképpen adja meg: https://update.fortify.com. Kattintson a Tovább gombra.
  • Adja meg, hogy szeretne-e mintaforráskódot telepíteni. Kattintson a Tovább gombra.
  • Kattintson a Tovább gombra a Fortify SCA és alkalmazások telepítéséhez.
  • Kattintson a Biztonsági tartalom frissítése a telepítés után, majd a Befejezés gombra a telepítés befejezése után.

Hogyan telepítsünk Linuxra

Ugyanezeket a lépéseket követve telepítheti a Fortify SCA-t Linux alapú rendszerre. Azonban az első lépésben futtassa ezt telepítőfájlként;

Fortify_SCA_and_Apps__linux_x64.run

Alternatív megoldásként telepítheti a Fortify SCA-t a parancssori prompt használatával.

Nyissa meg a terminált, és futtassa ezt a parancsot 

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Kövesse az összes utasítást a parancssorban, amíg be nem fejezi a telepítési folyamatot.

A Fortify vizsgálat futtatása

Ha végzett a telepítéssel, ideje beállítani az eszközt a biztonsági elemzéshez.

  • Menjen az Installation Directory (Telepítési könyvtár) oldalra, és a parancssor segítségével navigáljon a bin mappához.
  • Írja be a scapostinstall parancsot. Ezután beírhatja az s karaktert a beállítások megjelenítéséhez.
  • Állítsa be a területi beállításokat ezekkel a parancsokkal;

Írja be a 2-t a Beállítások kiválasztásához.

Írja be az 1-et az Általános kiválasztásához.

Írja be az 1-et a Locale kiválasztásához

Nyelvként írja be az English: en parancsot, hogy a nyelvet angolra állítsa.

  • Biztonsági tartalomfrissítések konfigurálása. Írja be a 2-t a Beállítások kiválasztásához, majd írja be újra a 2-t a Frissítés megerősítése kiválasztásához. Mostantól használhatja a Fortify Rulepack frissítési kiszolgálót, ha az URL-címet a következőképpen adja meg: https://update.fortify.com.
  • Írja be a sourceanalyzer parancsot, hogy ellenőrizze, hogy az eszköz teljesen telepítve van-e.

A Fortify SCA mostantól a háttérben fog futni, és ellenőrzi az összes kódot biztonsági réseket keresve.

Becsomagolás

Az internetes korszakban elburjánzottak a rendszerek feltörésének és az adatok veszélyeztetésének esetei. Szerencsére ma már olyan eszközökkel rendelkezünk, mint a Fortify Static Code Analyzer, amely kódírás közben képes észlelni a biztonsági fenyegetéseket, riasztásokat küldeni és ajánlásokat adni az ilyen fenyegetések kezelésére. A Fortify SCA növelheti a termelékenységet és csökkentheti a működési költségeket, ha más eszközökkel együtt használják.

Alkalmazása biztonságának javítása érdekében felfedezheti a Software Composition Analysis (SCA) szolgáltatást is.

Tweet
Share
Share
Pin