HP Fortify SCA 程式碼安全檢測工具
產品簡介
SCA是Fortify 360的三個分析器之一。SCA使用於開發階段,可分析應用程式的程式碼是否存有安全漏洞。
通過程式碼安全分析器找出應用程式可能會執行的所有路徑,SCA從程式碼中指出安全漏洞。它可以在有效的時間內分析大量的程式碼,並可以讓開發人員花費更少的時間與精力來了解和解決問題,讓修復問題變得容易!
產品特色
擁有業界最完整的程式碼分析器
Fortify SCA的核心分析技術和專利的X-TierTM資料流程分析器(專利編號#7207065)是現在市場上無其他廠商可比擬,此技術可針對程式原始碼進行廣泛的檢測。X-TierTM資料流程分析器可跨階層、跨檔案、跨程式語言與跨程式架構的分析整個程式的相關流程,結合SCA其成熟的分析引擎技術和精確的安全程式檢測規則(Rulepack),故其分析結果準確性高且誤報率與漏報率極低。
可檢測502種以上的問題類別
可檢測安全與品質的問題類別,包含:未針對可能的例外進行處理(Poor Error Handling)、程式碼含有未使用到的程式碼(Unused Method)、易造成記憶體洩漏的問題如:資源未釋放(Unreleased resource)等的品質問題;以及Cross-site Scripting (XSS)及SQL Injection等的安全問題。
嚴重等級分類,加速修補效率
Fortify SCA會將找出的安全問題對系統的危害作嚴重等級分類,可加速相關人員審查安全問題,加速開發人員修補時程。結束,並會產生一份安全檢視報告。
安全規則定期更新機制
定期提供更新安全規則,由Fortify Software的安全專家和研發團隊持續的更新,以保持最新的原始碼弱點分析基礎。並且提供客製化安全規則功能,以精靈化的方式輕鬆訂定。
提供全面資訊的分析結果
SCA將分析結果,透過Audit WorkBench使用者介面提供安全弱點相關資訊包含問題追蹤流程、Call Graph協助問題分析及確認,並將審查結果記錄及分派。提供安全問題說明及修復建議,依實際開發之程式碼作為安全問題說明,以提高可讀性,加速使用者問題瞭解及修復。
多元化的報表
SCA擁有多元化的報表範本,提供豐富的資訊。報表內容包括相關的分析統計數據、完整問題解釋與修復建議、分析追蹤流程與程式碼片段,更容易閱讀與分析。並且可很容易新增客製化的報表範本。
Fortify靜態應用程式安全檢測業界第一
現今企業在其網路架構、伺服器方面的資安防護措施多半已臻成熟,然而駭客攻擊的目標已經由網路層逐漸轉向企業所撰寫的應用程式。近幾年市場出現了數個新興的應用程式安全檢測技術,其中靜態應用程式安全檢測(Static Application Security Testing, 以下簡稱SAST)便是檢測應用程式安全的主流之一。
權威機構Gartner組織針對業界知名的靜態應用程式安全檢測工具研究報告指出,Fortify 產品不論在工具完整度的願景(Completeness of Vision)以及工具的執行力(Ability to Execute)皆大幅領先同業,為世界領導品牌。
來源:Gartner (February 2009)
運作原理
Fortify SCA本身是一個檢測程式碼是否有安全漏洞的解決方案,其分析的程序是將其分成幾個步驟,程序的第一步,是使用靜態分析工具來分析專案的程式碼。透過SCA的轉檔方式轉為SCA的核心引擎可分析的中繼檔,此步驟檢查程式碼中可能無法編譯的錯誤並可將多種程式語言開發的應用系統整合成統一掃瞄的專案。
當SCA轉換程式碼完成後,程序會進行第二步,將轉換完成的檔案通過SCA核心引擎與安全規則的分析與檢測,檢測應用程式中是否有安全問題。若工具發現某些問題集,執行者必須查看這些問題並找出會造成合法安全性風險的子集,且根據其出現在程式碼中的追蹤流程、可能造成的安全漏洞結果進行歸類。
這個步驟稱為稽核,它能有效地將工具輸出的檢核結果轉換為人工可檢閱的問題結果。最後,稽核人員會將這些已經過審查並排列優先順序的問題來建立報告,指出在稽核過程中發現的問題。
SCA運作流程圖
產品效益
- 程式碼安全弱點檢測自動化,節省大量人力
- 將問題依嚴重等級分類,優先修復嚴重的弱點
- 直指有問題程式列並提供問題說明及修復建議
- 矯正開發人員不安全的程式撰寫習慣
- 提供撰寫安全程式碼的學習平台
- 提供程式碼安全驗證的數據化報表,為程式安全把關
- 協助檢核委外廠商交付的軟體元件與程式碼是否齊全
規格
|
支援程式語言 |
.Net (ASP.net, VB.net, C#), C, C++, Java, JSP, PL/SQL, T-SQL, Cold Fusion(增購項), ASP, VB6, PHP, Python(增購項), COBOL(增購項),SAP ABAP(增購項), ActionScript, JavaScript/AJAX, VBScript, HTML/XML等20種語言 |
|
支援平台 |
Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX等平台 |
|
可整合的開發環境 |
Microsoft Visual Studio, Eclipse, IBM WSAD, RAD, JBuilder 2008等開發環境 |
|
分析引擎 |
Semantic、Data Flow、Control Flow、Structural、Configuration等分析引擎 |
|
支援的語言架構 |
J2EE, Java Server Face(JSF), Hibernate, Struts, Spring等Framework |
|
檢測問題種類 |
檢測包括OWASP Top 10等超過502類以上的安全問題 |
成功案例
- 2011 CODiE Award for Fortify 360: Best Software Development Solution
- 2011 CODiE Award for Fortify on Demand: Best Security Solution
- 2010 E-week Products to Watch Fortify on Demand — Click 4 to see write-up
- Fortify Software wins 2009 SC Magazine Reader Trust Award
- 2009 CODiE Award
- 2008 SD Times : Product Excellence Award
- Fortify Software's Web Application Security Solution Named 2008 Jolt Award Finalist
產品訂價
HP Fortify SCA:新台幣1,800,000元整
HP Fortify SCA IDE Plug-Ins:新台幣180,000元整
資安服務專業套件包:新台幣312,500元整