Fortify 软件安全中心(SSC)
Micro Focus Fortify 软件安全中心(SSC)是一个集中的管理存储库,为企业的整个应用安全程序提供可视性,以帮助解决整个软件组合的安全漏洞。
用户可以评估、审计、优先级排序和管理修复工作,安全测试活动,并通过管理仪表板和报告来衡量改进,以优化静态和动态应用安全测试结果。因为 Fortify SSC 服务器位于中心位置,可以接收来自不同应用的安全性测试结果(包括静态、动态和实时分析等),有助于准确描述整体企业应用安全态势。
Fortify SSC 可以对扫描结果和评估结果实现关联跟踪,并通过 Fortify Audit Workbench 或 IDE 插件(如 Fortify Plugin for Eclipse, Fortify Extension for Visual Studio)向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷跟踪系统中,包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。
Fortify ScanCentral DAST 新增功能
借助下一代动态应用程序安全测试功能,可以使用 ScanCentral 和现有的 Fortify Jenkins 及 Fortify Azure 插件在 CI/CD 流程中启用、扩展和自动化 DAST,从而创建更的 AppSec 方法。ScanCentral DAST 新增功能如下:
使用功能性应用程序安全测试 (FAST)
FAST 以支持 CI/CD 的方式捕获功能测试流量并将其发送到 ScanCentral DAST,进行有针对性的 DAST 扫描。与 IAST 不同,FAST 不受创建测试人员的想法限制。FAST 扫描应用程序,继续查找功能测试未公开的所有内容。
简化 API 扫描
在21.1.0版本中, 集成的ScanCentral DAST 可以简化 API 扫描,使WebInspect 传感器中的新工作流自动检测身份验证请求。
增加 Hacker Level Insights
Hacker Level Insights 是一个新框架,可对应用程序进行安全洞察。21.1.0版本中也包含了对 JavaScript 客户端框架的检测。
配置数据保留策略
在应用程序或扫描级别中配置数据保留策略,允许自动清除陈旧数据,以支持 ScanCentral DAST 数据库维护及高使用环境中的系统性能。
防止应用程序中断
如果正在运行的扫描发生了中断,或强制完成扫描但未启动新扫描时,ScanCentral DAST 将确保不会中断应用程序和扫描过程。
提供基本设置功能
基本设置使 ScanCentral DAST 管理员能够跨所有应用程序或特定应用程序扫描设置模板。管理员可以预先配置扫描模板并将其提供给用户,使用户在不了解安全知识的情况下也能扫描他们的应用程序。
Fortify扫描Android项目
使用插件扫描是一个比较推荐的方式,因为操作简单,且环境可靠不需要重新配置。
首先肯定是获取插件,我们需要从安装Fortify开始。如果已经安装了也不要紧,直接点击安装到原有目录即可,Fortify会自动适配的。安装步骤基本都使用默认选项,但是在选择组件的环节,我们要记得勾选上我们需要的插件。
上图中红框是给Android Studio使用的插件,是本小节需要使用到的。第二个红框则是一个Visual Studio的插件,后面会用到,这里可以先勾选一下(但要记得Visual Studio的插件只能在Visual Studio已存在时安装,版本也不要选错)。安装后,可以在Fortify安装目录下的plugins\IntelliJAnalysis目录中找到我们需要的插件。
然后是第二步,将插件安装到Android Studio上。在Android Studio中打开插件的界面,选择设置的图标,然后选择Install Plugin from Disk...选项,选中前面说到的插件文件。然后重启Android Studio即可生效。
生效后我们可以在Android Studio的标题栏中找到Fortify选项,在Fortify->Analysis Settings...选项中,我们可以配置该插件扫描源码的规则和配置。
蕞后,我们点击Fortify->Analyze Project选项,即可扫描项目并在项目的根目录生成fpr文件
Fortify SCA规则定义
Fortify sca主要对中间代码进行了数据流分析、控制流分析、代码结构分析、内容和配置文件分析。1.新建规则这里以fortify安装目录下自带的php示例代码(Samples\basic\php)为例:
我们在缺陷代码基础上增加了validate函数去做安全净化处理,fortify sca不能识别这个函数的作用。
再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数
另外新建规则还可以使用fortify自带的自定义用户规则向导,可以通过图形化方式配置40多种规则类型。当然如果还有更高的规则定制要求,就在向导生成的xml基础上进一步更新吧。
以上信息由专业从事源代码检测工具fortify sca价格的华克斯于2024/6/26 9:11:43发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2776088831.html
下一条:离型纸管信息推荐「苏州禾木」
