Vad är Fortify SCA och hur installerar man det?

Fortify Static Code Analyzer (SCA) analyserar källkoden och lokaliserar grundorsaken till säkerhetsbrister.

En Fortify-skanning prioriterar de allvarligaste problemen och vägleder hur utvecklare ska fixa dem.

Fortify Static Code Analyzer

Fortify Static Code Analyzer har olika sårbarhetsanalysatorer som Buffer, Content, Control Flow, Dataflow, Semantic, Configuration och Structural. Var och en av dessa analysatorer accepterar en annan typ av regel som är skräddarsydd för att erbjuda information som är nödvändig för den typ av analys som utförs.

Fortify Static Code Analyzer har följande komponenter;

  • Fortify Scan Wizard. Det är ett verktyg som erbjuder alternativ för att köra skript efter eller före analysen.
  • Revision arbetsbänk. Det är en GUI-baserad app som organiserar och hanterar de analyserade resultaten.
  • Redaktör för anpassade regler. Det är ett verktyg som låter utvecklare skapa och redigera anpassade regler för analys.
  • Plugin för IntelliJ och Android Studio. Denna plugin ger analysresultat inom IDE.
  • Plugin för Eclipse. Detta verktyg är integrerat med Eclipse och visar resultat inom IDE.
  • Bambu plugin. Det är ett plugin som samlar in resultaten från Bamboo Job som kör en analys.
  • Jenkins plugin. Denna plugin samlar in analysresultat från Jenkins Job.

Funktioner i Fortify SCA

#1. Stöder flera språk

Några av de språk som stöds på Fortify SCA är; ABAP/BSP, ActionScript, ASP (med VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (inklusive Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL och XML.

#2. Flexibla distributionsalternativ

  • Fortify On-Prem ger en organisation full kontroll över alla aspekter av Fortify SCA.
  • Fortify On Demand gör det möjligt för utvecklare att arbeta i en Software As Service-miljö.
  • Fortify Hosted låter utvecklare njuta av båda två världarna (On Demand och On-Prem) genom en isolerad virtuell miljö med full datakontroll.

#3. Integreras enkelt med CI/CD-verktyg

  • Utvecklare kan enkelt integrera Fortify SCA med stora IDE:er som Visual Studio och Eclipse.
  • Utvecklare har kontroll över olika åtgärder eftersom verktyget integreras med verktyg med öppen källkod som Sonatype, WhiteSource, Snyk och BlackDuck.
  • Du kan också integrera Fortify SCA med fjärrkodlager som Bitbucket och GitHub. Verktyget kan alltså kontrollera kod som skjuts till sådana plattformar för sårbarheter och skicka rapporter.

#4. Varningar i realtid

Du behöver inte vänta tills du är klar med kodningen för att göra dina tester, eftersom Fortify SCA ger uppdateringar i realtid när du kodar. Verktyget har konfigurations- och strukturanalysatorer byggda för hastighet och effektivitet och hjälper dig att producera säkra applikationer.

#5. Revisionsassistent som drivs av maskininlärning

Revision av ett system går snabbt med hjälp av Audit Assistant, som använder maskininlärningsalgoritmer. Assistenten identifierar alla sårbarheter och prioriterar dem utifrån konfidensnivån. Organisationer kan därmed spara på revisionskostnader eftersom verktyget genererar rapporter.

#6. Flexibilitet

Användare kan välja vilken typ av skanning de vill göra baserat på deras behov. Om du till exempel vill ha exakta och detaljerade skanningar kan du välja alternativet omfattande skanning. Utvecklare kan också välja snabbsökningsalternativet om de bara vill att större hot ska upptäckas.

Vad gör Fortify SCA?

Fortify SCA har flera roller i ett typiskt utvecklingsekosystem. Följande är några av rollerna;

Statisk testning hjälper till att bygga bättre kod

Static Application Security Testing (SAST) hjälper till att identifiera säkerhetsbrister i de tidiga utvecklingsstadierna. Lyckligtvis är de flesta av dessa säkerhetsbrister billiga att åtgärda.

Ett sådant tillvägagångssätt minskar säkerhetsriskerna i applikationer eftersom testet ger omedelbar feedback på de problem som introducerats till kod under utvecklingen.

Utvecklare lär sig också om säkerhet genom Static Application Security Testing, och de kan därmed börja producera säker programvara.

Fortify SCA använder en omfattande kunskapsbas av säkra kodningsregler och flera algoritmer för att analysera källkoden för en mjukvaruapplikation för säkerhetsbrister. Metoden analyserar alla möjliga vägar som data och exekvering kan följa för att identifiera sårbarheter och erbjuda lösningar.

Hittar säkerhetsproblem tidigt

Fortify SCA härmar en kompilator. Efter en Fortify-skanning läser det här verktyget källkodsfilerna och konverterar dem till en mellanstruktur förbättrad för säkerhetsanalys.

Alla säkerhetsbrister är lätta att lokalisera i mellanformatet. Verktyget kommer med en analysmotor som består av flera specialiserade analysatorer som sedan använder säkra kodningsregler för att analysera om koden bryter mot några regler för säker kodning.

Fortify SCA kommer också med en regelbyggare om du vill utöka funktionerna för statisk analys och inkludera anpassade regler. Resultaten i en sådan miljö kan ses i olika format baserat på uppgift och målgrupp.

Fortify Software Security Center (SSC) hjälper till att hantera resultat

Fortify Software Security Center (SSC) är ett centraliserat hanteringsförråd som ger synlighet till en organisations hela applikationssäkerhetsprogram. Genom SSC kan användare granska, granska, prioritera och hantera åtgärdsinsatser när säkerhetshot identifieras.

Fortify SSC erbjuder en korrekt omfattning och bild av applikationens säkerhetsställning i en organisation. SSC finns på en central server men tar emot resultat från olika applikationssäkerhetstestaktiviteter, från realtid, dynamisk till statisk analys.

Vilken typ av kodanalys kan Fortify SCA göra?

En fortify scan lånar från de skadliga rikens arkitektur när man gör kodanalys. Det är dessa typer av analyser som Fortify SCA gör;

  • Indatavalidering och representation – problem som är förknippade med indatavalidering och representation kommer från alternativa kodningar, numeriska representationer och metatecken. Exempel på sådana problem är ”Buffer Overflows”, ”Cross-Site Scripting”-attacker och ”SQL Injection”, som uppstår när användarna litar på indata.
  • API-missbruk. Uppringaren som inte respekterar slutet av kontraktet är den vanligaste typen av API-missbruk.
  • Säkerhetsfunktioner. Detta test skiljer mellan mjukvarusäkerhet och säkerhetsprogramvara. Analysen kommer att fokusera på autentisering, behörighetshantering, åtkomstkontroll, konfidentialitet och kryptografi.
  • Tid och tillstånd. Datorer kan växla mellan olika uppgifter mycket snabbt. Tids- och tillståndsanalys söker efter defekter som uppstår från oväntade interaktioner mellan trådar, information, processer och tid.
  • Fel. Fortify SCA kommer att kontrollera om fel ger för mycket information till potentiella angripare.
  • Kodkvalitet. Dålig kodkvalitet leder vanligtvis till oförutsägbart beteende. Angripare kan dock ha en chans att manipulera en applikation till deras fördel om de stöter på kod som är dåligt skriven.
  • Inkapsling. Detta är processen att dra starka gränser. En sådan analys kan innebära att man skiljer mellan validerad och ovaliderad data.

Ladda ner och installera Fortify SCA

Innan du startar installationsprocessen måste du;

  • Kontrollera systemkraven från den officiella dokumentationen
  • Skaffa Fortify-licensfil. Välj ditt paket från nedladdningssidan för Microfocus. Sök efter Fortify Static Code Analyzer, skapa ditt konto och få en Fortify-licensfil.

  • Se till att du har Visual Studio Code installerat eller en annan kodredigerare som stöds

Hur man installerar på Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

OBS: är versionen av programvaran

  • Klicka på Nästa efter att ha accepterat licensavtalet.
  • Välj var du vill installera Fortify Static Code Analyzer och klicka på Nästa.
  • Välj de komponenter du vill installera och klicka på Nästa.
  • Ange användare om du installerar ett tillägg för Visual Studio 2015 eller 2017.
  • Klicka på Nästa efter att ha angett sökvägen till filen fortify.license.
  • Ange de inställningar som krävs för att uppdatera säkerhetsinnehåll. Du kan använda Fortify Rulepack-uppdateringsservern genom att ange URL:en https://update.fortify.com. Klicka på Nästa.
  • Ange om du vill installera ett exempel på källkod. Klicka på Nästa.
  • Klicka på Nästa för att installera Fortify SCA och applikationer.
  • Klicka på Uppdatera säkerhetsinnehåll efter installationen och sedan på Slutför när installationen är klar.

Hur man installerar på Linux

Du kan följa samma steg för att installera Fortify SCA på ett Linux-baserat system. Men i det första steget, kör detta som installationsfilen;

Fortify_SCA_and_Apps__linux_x64.run

Du kan alternativt installera Fortify SCA med hjälp av kommandoraden.

Öppna din terminal och kör detta kommando

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Följ alla anvisningar enligt anvisningarna på kommandoraden tills du är klar med installationsprocessen.

Hur man kör en Fortify-skanning

När du är klar med installationen är det dags att ställa in verktyget för säkerhetsanalys.

  • Gå över till installationskatalogen och navigera till bin-mappen med hjälp av kommandotolken.
  • Skriv scapostinstall. Du kan sedan skriva s för att visa inställningar.
  • Ställ in lokalen med dessa kommandon;

Skriv 2 för att välja Inställningar.

Skriv 1 för att välja Allmänt.

Skriv 1 för att välja Locale

För språk, skriv engelska: sv för att ställa in språket som engelska.

  • Konfigurera uppdateringar av säkerhetsinnehåll. Skriv 2 för att välja Inställningar och skriv sedan 2 igen för att välja Fortify Update. Du kan nu använda Fortify Rulepack-uppdateringsservern genom att ange URL:en https://update.fortify.com.
  • Skriv sourceanalyzer för att kontrollera om verktyget är fullt installerat.

Fortify SCA kommer nu att köras i bakgrunden och kontrollera all din kod för säkerhetsbrister.

Avslutar

Fall av system som hackats och data äventyrats har blivit vanliga i denna internet-era. Som tur är har vi nu verktyg som Fortify Static Code Analyzer som kan upptäcka säkerhetshot när kod skrivs, skicka varningar och ge rekommendationer om hantering av sådana hot. Fortify SCA kan öka produktiviteten och minska driftskostnaderna när de används med andra verktyg.

Du kan också utforska Software Composition Analysis (SCA) för att förbättra din applikations säkerhet.