Fortify Software, nu en del av Micro Focus, är en SAST -lösning för statisk applikationssäkerhetstest. Dess huvudsakliga funktioner kretsar kring att identifiera och mildra säkerhetssårbarheter i programvaruapplikationer i hela programvaruutvecklingens livscykel (SDLC). Viktiga funktioner inkluderar:
* statisk analys: Detta är kärnan i Fortify. Den analyserar källkod, bytekod och binärer utan att faktiskt köra applikationen, identifiera potentiella säkerhetssvagheter baserade på fördefinierade regler och mönster. Detta möjliggör tidig upptäckt av sårbarheter innan de når produktion.
* brett språkstöd: Fortify stöder ett brett utbud av programmeringsspråk, inklusive Java, .NET, C ++, C#, PHP, JavaScript och mer. Detta gör det anpassningsbart till olika utvecklingsmiljöer.
* Omfattande sårbarhetsdetektering: Den identifierar ett brett spektrum av säkerhetsbrister, som omfattar:
* injektionsfel: SQL Injection, Cross-Site Scripting (XSS), Command Injection, etc.
* Cross-Site Begäran förfalskning (CSRF)
* autentisering och sessionhanteringssårbarheter
* Datavalidering och saneringsproblem
* Access Control Flaws
* affärslogikfel
* API -säkerhetsvagheter
* kryptografiproblem
* Prioriterings- och saneringsvägledning: Fortify identifierar inte bara sårbarheter; Det prioriterar dem också baserat på svårighetsgrad och sannolikhet för exploatering, vilket hjälper utvecklare först att fokusera på de mest kritiska frågorna. Det ger detaljerade saneringsråd och länkar ofta till relevanta bästa praxis och exempel på säkerhet.
* Integration med utvecklingsverktyg: Fortify integreras med olika IDE:er (integrerade utvecklingsmiljöer) och CI/CD (kontinuerlig integration/kontinuerlig leverans) rörledningar, vilket möjliggör sömlös integration i befintliga arbetsflöden. Detta möjliggör automatiserad säkerhetstest som en del av byggprocessen.
* Rapportering och instrumentpaneler: Det erbjuder omfattande rapportering och instrumentpaneler som ger en översikt över applikationens säkerhetsställning, spårar framsteg över tid och identifierar trender i sårbarhetstyper.
* Programvarukompositionanalys (SCA): Många Fortify-erbjudanden inkluderar SCA-kapacitet, som analyserar de öppna källkodskomponenterna som används i en applikation och identifierar kända sårbarheter i dessa bibliotek och ramverk. Detta är avgörande för att hantera tredjepartsrisk.
* Web Application Scanning: Även om det främst är ett SAST -verktyg, kan vissa Fortify -erbjudanden inkludera Dynamic Application Security Testing (DAST) eller Interactive Application Security Testing (IAST) kapacitet för att komplettera dess statiska analys.
Sammanfattningsvis fokuserar Fortifys huvudfunktioner på att tillhandahålla en omfattande, integrerad och automatiserad strategi för applikationssäkerhetstestning, vilket gör det möjligt för utvecklare att bygga säkrare programvara. De tillgängliga specifika funktionerna kan variera beroende på den specifika befästprodukten och licensiering som köpts.
