政府共同供應契約 產品專區
應用系統品質及安全原始碼檢核工具
F o r t i f y S C A使用於S D L C的開發階段。領先業界的核心分析技術和專利的X - T i e r TM資料流分析器,可跨階層、跨檔案、跨程式語言與跨程式架構的分析整個程式的相關流程。
Fortify SCA掃描分為三個階段,在解譯階段(Translation Phase)將18種程式語言轉為Fortify的中間碼格式(Intermediate Model),接著進入分析階段(Analysis Phase),將程式碼送進Fortify專利的分析引擎進行解析,搭配Fortify每季更新一次的弱點規則資料庫,可精準的找出程式碼問題。
Fortify報表檔在最後稽核階段,可由不同的Fortify工具開啟,並進行程式弱點的稽核與修改。工具包括問題追蹤流程、全圖形化的UML Call Graph協助開發人員問題分析及確認,並將審查結果記錄及分派,內建繁體中文問題說明與修復建議,加速開發人員問題瞭解及修復。
Application Security Center應用系統安全動態檢核工具
HP WebInspect是當今最精確且完善的自動化Web應用軟體與Web服務弱點評估解決方案。提供
管理人員在網路應用系統上線前或上線後進行即時或排程掃描,透過直覺式的用戶操作介面,
隨時掌握掃描進度、了解當前所發生問題。HP WebInspect黑箱測試工具將透過Fortify Hybrid 2.0
的整合,除了協助開發人員洞悉原始碼弱點外,還可確實掌握動態程式的弱點。
應用系統安全功能測試檢核工具
往往QA人員於功能測試後,須另外耗費時間及人力執行安全測試;且對於找到的安全漏洞,開
發人員也可能因不瞭解如何修補程式問題,增加無法準時上線的風險。
Fortify PTA與Hybrid 2.0將是測試階段最佳的解決方案。Fortify PTA可以讓QA測試人員在不需具備專業安全知識、不需改變原QA工作內容下,一邊執行功能測試、同時發現軟體安全漏洞(例如:OWASP Top 10 ),並指導QA測試人員如何驗證。企業在上線前透過滲透測試對應用系統找出的安全漏洞,亦可透過Hybrid 2.0技術將測試結果與程式碼檢測結果整合,精確的找出安全漏洞發生之程式碼,提供開發人員修復之建議。
應用系統安全漏洞防護工具
Gartner調查指出75%的安全漏洞發生於應用程式,但現有的防火牆、入侵防禦系統、及應用層防火牆並非專為保護網站應用程式而設計,因此無法有效保護其安全。
RTA是新一代高階的API level Web應用程式入侵偵測防禦系統,使用於SDLC的部署階段。透過分析Web應用程式API所讀取的內容,明確地判斷字串是否為攻擊,並在Web應用程式的安全關鍵由API把關,即時攔阻駭客攻擊並記錄。不僅讓企業瞭解應用程式漏洞所在,更讓駭客攻擊無所遁形!此外,RTA亦能協助企業符合個資法、PCI、HIPPA等法令與規範。
應用系統靜態/動態/即時監控管理系統
Fortify 360 Server應用系統安全檢測數位儀表管理中心為企業等級Web平台,可供開發、安全稽核與管理人員透過數位儀表趨勢分析,清楚了解開發階段、測試階段安全漏洞趨勢,也能掌握應用系統上線後安全事件趨勢,協助管理者很容易地分析應用系統的安全變化。並可針對靜態及動態程式碼檢測結果進行關連交互分析,更精準地指出目前面臨高風險的程式所在。
台灣客戶代表
財政部財稅資料中心、行政院主計處電子處理資料中心、行政院技服中心、資策會、土地銀行、兆豐銀行、第一銀行、國立台灣大學、國立清華大學、台灣科技大學、台灣中油、台灣大哥大、鼎鼎聯合行銷、遊戲橘子