資安常用軟體‎ > ‎代碼安全‎ > ‎

Static Code Analysis

張貼者:2010年5月31日 下午12:41service orderble   [ eddie liu 已於 2012年8月8日 上午12:15 更新 ]
-----------------------------------------------------------------------------------------------
開發商:Fortify
原廠網址:http://www.fortify.com/products/detect/in_development.jsp;jsessionid=76A3C18A382FA93E648835052FDB70F7
更新日期:2011/05/04
採購正式版、大量授權報價、技術支援、軟體諮詢、委託採購、詢問報價請來電 02-29299388 分機16 , 
來信service@orderble.com,或點我
--------------------------------------------------------------------------------------


FORTIFY源代碼分析集是一套綜合的工業標準化軟件安全規範的工具集,它能夠使你在你的軟件應用中有效地去查找,跟踪,和修復安全漏洞。 它能夠和你現有的開發工具、評審工具和開發過程建立緊密地合作。FORTIFY源代碼分析器提供精確的、一致的結果,這能夠最大限度地減少用在識別,跟踪軟件安全缺陷上的時間和努力。

源代碼分析(SCA)的發展中

在Fortify的源代碼分析器(SCA)的檢查每一行代碼,每一個程序的路徑,以確定不同類型的數百名潛在利用的漏洞早在開發生命週期,當他們最便宜的解決。

檢測源代碼中的漏洞

SCA是全面的漏洞找到並完成它的分析。 其分析儀和專利的X™層數據流分析(專利#7207065)檢測的問題在廣度深度其他技術所無法比擬的。 其分析儀是遵循一套規模最大,最全面的安全編碼規則,並不斷更新,增強安全專家的研究小組。 協議確定了200多個漏洞類別

無與倫比的精度

這種先進的發動機和精確的安全編碼規則,在SCA提供排名和分類問題,具有非常低的誤報率。此外,因為沒有兩個應用程序具有相同的風險或正在建造的同樣的方式,協議使企業能夠進一步調整分析為適應特定的應用程序,組件或Web服務。

適合成為你的環境

SCA是設計以適合您的組織。 它可以擴展到從每日構建全面審計百萬行代碼,並支持廣泛的語言,平台,建設環境和集成開發環境(IDE)。 其水平調整的分析可以為個人或團體與不同的目標。 對於應用程序需要獨特的規則,SCA提供了一個易於使用的規則生成器定制的分析。


金融服務

產業現狀

有了非常大的資產,以保護基地,金融服務公司的首要目標之一,為有組織犯罪,外國政府和惡意內部人員。 這些組織的經驗和先進的穩定猛烈攻擊線上,每天的基礎。 他們還面臨著一個重大威脅的惡意人士,如心懷不滿的員工或下崗工人。 在過去10年中,網絡攻擊已經從試圖破解企業網絡的攻擊對公司的申請。 豐富的網絡應用提供新的功能,以及更多功能開放的遺留系統和應用程序最初設計時並沒有考慮到安全性提供了黑客社區擁有龐大的攻擊途徑。

財經事務的主要挑戰

  • 遺留代碼基地的目的不是通過訪問Web應用程序
  • 外包代碼開發在安全不夠透明
  • 有限的安全專業知識的開發組
  • 期限短,發展
  • 著眼於新的特性和功能,而不是安全

關鍵趨勢和統計

  • 75%的違約是由於軟件缺陷
    -加特納
  • 2006年,金融服務公司失去了5.8毫米的記錄
    -隱私權,信息交流中心
  • 成本對違反金融機構超過300元,每個記錄丟失
    -福里斯特

金融服務所採取的行動

為了對付這些威脅的增長,金融服務公司主管領導在部署應用程序的安全技術和開發新工藝。 最常見的技術包括:

源代碼分析
幾乎每一個國際金融服務公司,以及一些區域的,已開始鋪設的過程源代碼分析他們的安全和開發團隊。

動態安全測試: 
動態安全性測試可以包括鋼筆測試,Web應用掃描,攻擊路徑追踪,以及其他技術來測試應用程序一旦它的啟動和運行。 其中一些技術,如鋼筆測試,是專為安全專業人士,而另一些被設計用來在QA小組。

實時保護

許多組織也開始部署解決方案,實時監測和保護Web應用程序一旦投入生產。 這提供了洞察類型的攻擊,並提供積極的保護層。

如何夯實可以幫助

鞏固提供了一整套解決方案,稱為夯實360,使金融服務機構進行靜態分析應用程序的源代碼,動態分析程序運行時,實時監測和保護已部署的應用程序。 沒有其他公司提供所有這些解決方案的三個在一個集成平台。 鞏固起來,使這些技術相關性的結果,幫助組織的優先次序問題,了解安全狀態的應用程序在任何時間點。 堅定的信任更多的金融服務機構,任何其他應用程序的安全公司,並在時代前列的脆弱性的研究,開發工具和部署的做法。

強化經驗

鞏固正在幫助超過300家企業的安全和保護他們的應用,包括:

  • 前5個 商業銀行
  • 7 8 大銀行
  • 3前6 證券 公司
  • 二頂三 保險 企業
  • 3領先的4 會計 事務所

政府

產業現狀

政府組織在整個美國和世界各地正在經歷急劇增加的數量和複雜程度的網絡犯罪攻擊。無論它的高調的目標,如美國軍方和情報機構,或公共部門實體,如國家和地方政府,威脅丟失數據或蒙受關閉在行動中是真實的。 黑客們包括外國政府機構,有組織犯罪,甚至個人,在美國。 因此在最近有所增加,一些遵守法規,如FISMA的,已形成以幫助政府機構了解需要採取的步驟。 但大多數機構發現,他們必須超越FISMA的保護,以確保他們的軟件,他們的組織和運行在保護自己的機密資料。

主要挑戰為政府機構公告

  • 巨大的衝擊襲擊
  • 著眼於提高應用層
  • 越來越依賴於軟件來運行關鍵業務,無論是軍事,情報,民事,或當地政府
  • 外包不是一個代碼開發那裡的安全保證
  • 遺留代碼基地的目的不是通過訪問一個Web應用,移動電話,或其他新的接入點

在攻擊的主要趨勢

  • 2005年,2%的攻擊美國航空隊(美國空軍)是針對他們的申請。 2007年,36%的攻擊是針對他們的應用-美國空軍
  • 已經發生的重大違規,在軍事人員的記錄已被洩露
  • 2006年,31%的美國通過數據記錄被盜違反了在政府部門-隱私權,信息交流中心

採取的行動,美國政府

2007年,美國空軍啟動了軟件安全的重大舉措。它們投入生產應用程序安全解決方案,包括源代碼分析儀,動態安全測試工具,應用盾牌,和數據庫的安全工具。 美國空軍是一個領導者在應用安全性,主要是由於它們運行的關鍵軟件,它們存儲的重要數據,以及大型量化的攻擊時,他們每天都要面對的。 其他政府實體,包括其他國防部組織,民間分支機構的政府,甚至國家/地方機構已開始推出軟件安全解決方案來保護他們的數據和軟件。

如何夯實可以幫助

鞏固提供了一整套解決方案,稱為夯實360,使一個組織進行靜態分析應用程序的源代碼,動態分析程序運行時,實時監測和保護已部署的應用程序。 沒有其他公司提供所有這些解決方案的三個在一個集成平台。 鞏固起來,使這些技術相關性的結果,幫助組織的優先次序問題,了解安全狀態的應用程序在任何時間點。 堅定的信任更多的政府機構比任何其他應用程序的安全公司,並在時代前列的脆弱性的研究,開發工具和部署的做法。


支付卡行業

產業現狀

任何組織貯存或處理信用卡資料必須符合支付卡行業(PCI)數據安全標準(DSS),否則將面臨喪失其信用卡處理權限。 在2005年首次制定和修訂了2006年,PCI DSS的概述了一系列的IT組織必須採取的舉措。 隨著增加的範圍和嚴重程度的應用層攻擊,應用安全已經成為一大重點領域的PCI DSS的。 具體而言,PCI DSS的任務,所有組織:

核心應用安全授權
    第3節:保護存儲的持卡人數據
  • 不要存儲敏感數據的驗證授權後
  • 不要儲存的全部內容的任何軌道從磁條
  • 面膜潘顯示時
    第6節:開發安全應用軟件和系統
  • 回顧自定義應用程序代碼,以確定編碼漏洞
  • 封面預防常見的編碼漏洞在軟件開發過程
  • 培訓開發人員安全編碼實踐
  • 所有Web應用程序開發基於安全編碼的準則,例如OWASP指南
  • 讓所有的客戶應用程序代碼審查了共同的弱點,或安裝一個應用層防火牆
任務可以輔助安全技術與應用
    第4節:加密傳輸持卡人數據的所有開放,公共網絡
  • 4.2:不要發送未加密的到達前知會的最終用戶通訊技術
    第8條:指定一個唯一的ID給每個人的計算機訪問
  • 使所有的密碼在傳輸過程中無法讀取和存儲所有系統組件使用
  • 如果會話已閒置超過 15分鐘,要求用戶重新輸入密碼以激活終端
    第10條:定期測試安全系統和程序
  • 實現自動化的審計追踪的所有系統組件重建
  • 記錄至少包括以下所有項目的審計跟踪系統組件的每個事件
  • 安全審計線索,使他們能夠不被修改

主要挑戰錄取的PCI

  • Web應用程序編碼不佳導致SQL注入漏洞是五大原因一個PCI審計失敗
    -福里斯特研究
  • 2006年,第6條(開發和維護安全的系統和應用軟件)是最大的問題,為公司第九。 2007年,這是第2大問題
    - Qualys公司
  • 在樣本85K法醫案件,跨站點腳本是一個十大漏洞
    -美國頂級公司取證
  • 百分之56%的組織沒有第6
    - 威瑞信

堅定的PCI經驗

  • 參與組織了PCI會
  • 成員 ICSA實驗室的Web應用防火牆聯盟
  • 唯一供應商誰使包括源代碼審查和應用防火牆
  • 兩位美國前5名網上零售商選擇夯實,以確保他們的申請
  • 各種規模的商家選擇了夯實,以幫助他們通過PCI審計

幫助行業鏈接

如何夯實可以幫助

夯實提供了一整套解決方案,稱為夯實360,它使一個組織進行靜態分析的應用程序的源代碼,動態分析的一個運行的應用程序,和實時監控和保護部署的應用程序。沒有其他公司offers all 3這些解決方案於一體的綜合平台。 對於一家公司試圖通過PCI法規遵循中,Fortify是解決方案,以處理所有的應用程序層的需求,無論它是一個動態的安全測試,代碼審查,或應用層防火牆。 鞏固信任是組織各種規模,以幫助傳遞的PCI合規審核,處於前沿的脆弱性的研究,開發工具和部署的做法。


電信

產業現狀

有了非常大的數據庫的客戶信息保護,以及眾多接入點,電信公司的首要目標之一,為有組織犯罪,外國政府和惡意內部人員。這些組織的經驗,攻擊他們的在線網絡應用,以及使用的軟件運行他們的網絡。 隨著手機和無線產業的增長在過去10年,因此對有機會攻擊。 電信公司不僅要保證他們的網絡應用獲得足夠的財政和處理個人信息,而且該軟件運行他們的網絡是安全的。

主要挑戰電信

  • 遺留代碼基地的目的不是通過訪問一個Web應用,移動電話,或其他接入點
  • 正在開展的活動增加通過無線設備
  • 外包不是一個代碼開發那裡的安全保證
  • 有限的安全專業知識的開發組
  • 期限短,發展
  • 著眼於新的功能,而不是安全

電信所採取的行動

為了對付這些威脅的增長,電信公司都開始部署應用程序的安全技術和開發新工藝。最常見的技術包括:

源代碼分析
幾個電信公司在世界各地已開始鋪設的過程源代碼分析他們的安全和開發團隊。

動態安全測試: 
動態安全性測試可以包括鋼筆測試,Web應用掃描,攻擊路徑追踪,以及其他技術來測試應用程序一旦它實際上是啟動和運行。 其中一些技術,如鋼筆測試,是專為安全專業人士,而另一些被設計用來在QA小組。

實時保護
許多組織已開始部署解決方案,實時監測和保護Web應用程序一旦部署。 這提供了洞察類型的攻擊

如何夯實可以幫助

鞏固提供了一整套解決方案,稱為夯實360,使一家電信公司進行靜態分析應用程序的源代碼,動態分析程序運行時,實時監測和保護已部署的應用程序。 沒有其他公司提供所有這些解決方案的三個在一個集成平台。 鞏固起來,使這些技術相關性的結果,幫助組織的優先次序問題,了解安全狀態的應用程序在任何時間點。 堅定的信任越來越多的電信公司,任何其他應用程序的安全公司,並在時代前列的脆弱性的研究,開發工具和部署的做法。


Fortify軟件是一個成員,微軟安全開發生命週期(SDL)的專業網絡

安全開發生命週期(SDL)是業內領先的軟件安全保障過程中產生的由微軟和SDL的專業網絡是一組安全顧問,培訓公司和工具提供商專業應用安全和有相當的經驗和專業知識與方法和技術,安全開發生命週期(SDL)創建的微軟和2004年以來行之有效。

欲了解更多信息,請訪問 www.microsoft.com / sdl的 (或SDL的專業網絡網頁)網站www.microsoft.com / security / sdl的/馬上開始/ pronetwork.aspx

在Fortify的使命:

啟用軟件安全保證

軟件安全保證是一個增長的行業趨勢,是指技術和方法,使您能夠最大限度地提高靈活性,增強能力和容易獲得,企業軟件,而不必暴露你的行動,攻擊,可能威脅您的業務。 我們的願景和實施安全保障的軟件應用,結果在本質上是安全和不受攻擊,即使入侵者取得過去網絡外圍防禦。 有了我們的解決方案,您可以提高軟件保證查明並解決您最關鍵的應用程序中的漏洞較少的時間和較低的成本。 此外,我們的解決方案無縫集成的工具和流程您已經到位,使您能夠使軟件安全保障的核心業務流程。

鞏固 360幫助滿足需求的所有階段的SDL和夯實的需求,可自動準確的脆弱性評估會議的需要,在執行和核查階段。 Fortify的軟件安全專業服務和培訓也多種多樣的所有階段將 SDL幫助企業保持跟踪多項目軟件安全保障方案。

建立並實施可重複的流程在SDL是一個必不可少的步驟在安全發展方面的最佳做法。 然而,如果沒有有效的自動化,執行和跟踪的安全活動在SDL的定義,組織可能仍認為情況會失控。 對於個別項目,治理模塊一個重要組成部分夯實 360提供了一個方便的網絡門戶,風險緩解活動和工件可以被記錄和溝通。 對於每一個項目的組織,夯實 360公共福利金治模塊自動分配正確的活動根據項目的具體風險狀況。應用程序安全團隊可以跟踪項目的努力和收到警報後,根據已完成或遺漏的里程碑。 有了這些功能到位,安全團隊可以開始邁向管理,按公共福利金異常的方法,騰出更多的時間來支持其他的活動。 先進的報告和查看功能提供的方法,以迅速鞏固成果在所有項目中,行政機關提供的報告和找出改善。

對於那些組織正在尋求快速啟動安全開發生命週期,SDL的模板和工件基於微軟 SDL的提供。 這些模板提供了一個有效的SDL的,可以實施外的盒子。 這可以消除大部分的研究和開發所需的專業知識 SDL的。

鞏固 提供了獨特的軟件安全解決方案和服務,保護企業和政府機構從今天的最大的安全風險:該軟件運行他們的企業通過一個完整的解決方案,其中包括:

  • 鞏固360:市場領先的解決方案套件的軟件安全性保證(SSA)的結合了關鍵的分析,修復和管理能力,有必要確定,刪除,遏制和防止安全漏洞的軟件。
    • 為了幫助留在軌道與多項目公共福利金計劃,有360公共福利金的夯實治理模塊。
    • 這部分夯實 360提供了單一系統的紀錄與意見後的資產,活動和結果關係到企業的整個福利金的努力。
  • 鞏固點播:一組託管軟件作為一種服務(SaaS)解決方案,允許任何組織進行測試和評分的所有軟件的安全以更快的速度和準確性
    • 地址的需要,實現和驗證階段的安全開發生命週期
      • 測試,以確定問題使企業能夠一)優先申請,2)查明漏洞和3)驗證的威脅。
  • 強化專業軟件安全服務 ,確保每一個客戶成功地實現了通過強化和部署Fortify的產品,提高他們的時間效率。
    • 地址各個階段的安全開發生命週期。
      • 軟件安全保障諮詢服務包括:
        • 軟件業務的風險評估
        • 應用安全戰略與規劃
        • 公共福利金工藝開發和實施
        • 安全性開發生命週期規劃
        • 應用程序弱點評估
        • 第三方應用評估
        • 政策,指導方針和技術文件
        • 持續管理(上門)評估服務
        • 教育 - 意識和安全編碼
      • 鞏固 360產品服務包括:
        • 強化快速入門
        • 建築 - 執行設計諮詢
        • 試點服務
        • 產品配置和部署
        • 先進的整合與優化服務
  • 教育與認證 通過強化訓練 相結合講師主導TeamStart研討會,網上培訓課程,提供全面的教育計劃,使應用隊伍,以確保一個高水平的應用程序的安全意識和能力與Fortify的產品。
    • 地址各個階段的安全開發生命週期。
      • 鞏固一個簡單而全面的建議分三步走的辦法,教育你的應用軟件安全團隊和使用Fortify的360:
        • 建立基本的安全功能的軟件組織內部使用的軟件安全保障網上學習課程。
        • TeamStart工作坊教導開發人員和安全小組成員的安全流程自動化,如源代碼分析,採用 Fortify的360
        • 利用Fortify的產品網上培訓課程,以最大限度地保留了TeamStart內容,並支持可擴展性,新的團隊成員。
Comments