資料來源: HP-Fortify 提供
Fortify 360是一個整合工具,可以用來辨認、排序、修復應用程式中的安全漏洞,也能確保應用程式的安全。藉由幫助企業快速找出問題並加以修復,Fortify大幅降低攻擊威脅,也幫助企業維持應用程式的適法性。
Fortify 360使用全方位的分析以找出軟體中的漏洞,提供企業組織最快、最廣泛的威脅偵測。使用Fortify 360,企業組織得以:
跟其他安全問題解決方案不同的是,Fortify 360能從安全的角度提供最全面的見解。它也是第一個整合靜態和動態分析的解決方案。其合併Static Code Analyzer(SCA)和兩個動態分析工具:test-phase-focused Program Trace Analyzer(PTA)以及production-phase-focused Real-Time Analyzer(RTA)。這幾項工具彼此配合,互相分享訊息,使企業可以更快更有效率的找出問題。此外,Fortify 360會以周期性的方式更新分析工具,使IT團隊可以對現在最新型態的駭客手法或是漏洞有所防備。
SCA使用多種演算法和知識庫來檢驗程式碼,在應用程式開始適用前先找出其漏洞。這項技術分析了整個應用程式所有可能的執行和資料路徑,能夠找出超過200 個種類的漏洞。
主要優勢:
在測試應用程式時,PTA在程式執行中找出漏洞。企業組織可以用PTA搭配他們本身自有的測試方式,找出只有在程式執行時才比較容易被發現的漏洞,像是無法預測的使用者行為。不需要客製化或是安全專門技術,PTA使QA和開發者在不改變開發目標的情況下照顧到更多的程式區塊。
主要優勢:
RTA元件可以對抗一直在演化的邏輯攻擊,像是詐騙、駭客,資料探勘等等可能會危害應用程式的威脅。放置在應用程式中,RTA可以提供「應用程式在真實世界中如何被攻擊」的即時監控。在任何時間,IT人員都可以看到誰正在攻擊(IP位址和domain name)、攻擊是如何進行的和哪部分應用程式正遭受攻擊(可精準至程式碼各行)。
主要優勢:
Fortify 360整合從三個不同分析器來的資料,提供IT公司對於漏洞最廣泛的觀點。藉由關聯不同分析器的結果,使用者可以排除誤判之情事,驗證所找到漏洞的嚴重性並加以排序。這「全方面的觀點」讓您對各種漏洞有更佳的認識,認識漏洞之間的關聯,和如何使分流、審計和修復變得更快更輕鬆。
以下是一個例子,一個公司使用SCA檢查應用程式的程式碼,找出一長串的漏洞。即使SCA已經將列表依照優先順序排列過,這份列表還是頗長的。在此同時,使用者使用PTA進行動態檢測,PTA所偵測出的漏洞列表稍短,但不保證有涵蓋到所有程式碼。如果沒有使用Fortify 360,該公司只能得到兩份漏洞列表,並且無法得知哪些漏洞是在兩份列表上同時存在,或是兩份列表上的漏洞有什麼關聯。最嚴重的是,這個公司無法得知哪些漏洞是最致命、最需要及時修補的。Fortify 360可以結合兩個工具所產生的結果,並綜合判斷出哪個漏洞最需要被照顧。Fortify 360可以幫助公司企業用最有效率、成本最低的方式解決最嚴重的安全漏洞。
快速修復軟體中的漏洞需要團體合作,以及關鍵利益相關者、安全部門、QA和開發部門之間的協調。藉由Fortify 360中央控制台、關聯和優先排序功能,可以使各個團隊更有效率的合作,解決各種安全問題。Fortify 360整合一般企業天天使用的QA、開發過程和工具。這項功能使安全審計人員可以將問題送給公司內部的bug-tracking系統、上傳給整合開發環境(IDE),或是送給任何可以解決此問題的部門。安全人員可以自行修復問題,也可以嵌入其他環境供開發團隊修復問題時使用。此外,Fortify 360提供企業第一時間合作審計能力,使各個團隊可以同時對同一份程式碼進行漏洞修補。使用Fortify 360的企業可以用最快的速度修補漏洞,而空出來的額外時間可以用來開發應用程式,在時限內滿足客戶需求。
所有數據都指出,駭客、組織網路犯罪和有不良意圖的國家逐年增加,為了獲利,他們對準了全世界的應用程式。就算只有一個安全漏洞也可能是非常嚴重的,潛在的影響可能是:獲利損失、失去客戶信任和破壞商譽。於是,企業安全政策和政府安全規範就愈來愈多,IT企業的壓力也愈來愈大,他們必須好好保護由他們所生產、製造、管理和布署的應用程式。使用Fortify 360,IT企業可以用最快的速度偵測、排序和修復軟體漏洞。並且,Fortify 360是市面上唯一可以關聯不同分析器結果,整合現有QA、開發環境和工具的資訊安全解決方案。使企業可以更有效率的保護自己的應用程式,對抗不斷進化的威脅。