Τι είναι το Fortify SCA και πώς να το εγκαταστήσετε;

από
Tweet
Share
Share
Pin

Το Fortify Static Code Analyzer (SCA) αναλύει τον πηγαίο κώδικα και εντοπίζει τη βασική αιτία των τρωτών σημείων ασφαλείας.

Μια σάρωση Fortify δίνει προτεραιότητα στα πιο σοβαρά ζητήματα και καθοδηγεί τον τρόπο με τον οποίο οι προγραμματιστές πρέπει να τα διορθώσουν.

Fortify Static Code Analyzer

Το Fortify Static Code Analyzer διαθέτει διάφορους αναλυτές ευπάθειας όπως Buffer, Content, Control Flow, Dataflow, Semantic, Configuration και Structural. Καθένας από αυτούς τους αναλυτές αποδέχεται ένα διαφορετικό είδος κανόνα προσαρμοσμένο ώστε να προσφέρει πληροφορίες απαραίτητες για τον τύπο της ανάλυσης που εκτελείται.

Το Fortify Static Code Analyzer έχει τα ακόλουθα εξαρτήματα:

  • Fortify Scan Wizard. Είναι ένα εργαλείο που προσφέρει επιλογές για την εκτέλεση σεναρίων μετά ή πριν από την ανάλυση.
  • Ελεγκτικός πάγκος εργασίας. Είναι μια εφαρμογή που βασίζεται σε GUI που οργανώνει και διαχειρίζεται τα αποτελέσματα που αναλύονται.
  • Επεξεργαστής προσαρμοσμένων κανόνων. Είναι ένα εργαλείο που επιτρέπει στους προγραμματιστές να δημιουργούν και να επεξεργάζονται προσαρμοσμένους κανόνες για ανάλυση.
  • Πρόσθετο για IntelliJ και Android Studio. Αυτό το πρόσθετο παρέχει αποτελέσματα ανάλυσης εντός του IDE.
  • Πρόσθετο για το Eclipse. Αυτό το εργαλείο είναι ενσωματωμένο με το Eclipse και εμφανίζει αποτελέσματα εντός του IDE.
  • Πρόσθετο Bamboo. Είναι ένα πρόσθετο που συλλέγει τα αποτελέσματα από το Bamboo Job που εκτελεί μια ανάλυση.
  • Πρόσθετο Jenkins. Αυτή η προσθήκη συλλέγει αποτελέσματα ανάλυσης από την εργασία Jenkins.

Χαρακτηριστικά του Fortify SCA

#1. Υποστηρίζει πολλές γλώσσες

Μερικές από τις γλώσσες που υποστηρίζονται στο Fortify SCA είναι: ABAP/BSP, ActionScript, ASP (με VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (συμπεριλαμβανομένου Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL και XML.

#2. Ευέλικτες επιλογές ανάπτυξης

  • Το Fortify On-Prem επιτρέπει σε έναν οργανισμό τον πλήρη έλεγχο όλων των πτυχών του Fortify SCA.
  • Το Fortify On Demand επιτρέπει στους προγραμματιστές να εργάζονται σε περιβάλλον Software As Service.
  • Το Fortify Hosted επιτρέπει στους προγραμματιστές να απολαμβάνουν και τους δύο κόσμους (On Demand και On-Prem) μέσω ενός απομονωμένου εικονικού περιβάλλοντος με πλήρη έλεγχο δεδομένων.
  6 Marketplace για να βρείτε προσφορές προϊόντων SaaS στο Φτηνό για εκκίνηση

#3. Ενσωματώνεται εύκολα με εργαλεία CI/CD

  • Οι προγραμματιστές μπορούν εύκολα να ενσωματώσουν το Fortify SCA με μεγάλα IDE όπως το Visual Studio και το Eclipse.
  • Οι προγραμματιστές έχουν τον έλεγχο διαφόρων ενεργειών καθώς το εργαλείο ενσωματώνεται με εργαλεία ανοιχτού κώδικα όπως το Sonatype, το WhiteSource, το Snyk και το BlackDuck.
  • Μπορείτε επίσης να ενσωματώσετε το Fortify SCA με απομακρυσμένα αποθετήρια κώδικα όπως το Bitbucket και το GitHub. Το εργαλείο μπορεί έτσι να ελέγξει τον κώδικα που προωθείται σε τέτοιες πλατφόρμες για τρωτά σημεία και να στέλνει αναφορές.

#4. Ειδοποιήσεις σε πραγματικό χρόνο

Δεν χρειάζεται να περιμένετε μέχρι να ολοκληρώσετε την κωδικοποίηση για να κάνετε τις δοκιμές σας, καθώς το Fortify SCA παρέχει ενημερώσεις σε πραγματικό χρόνο καθώς κωδικοποιείτε. Το εργαλείο διαθέτει διαμόρφωση και δομικούς αναλυτές κατασκευασμένους για ταχύτητα και αποτελεσματικότητα και σας βοηθά να παράγετε ασφαλείς εφαρμογές.

#5. Βοηθός ελέγχου που υποστηρίζεται από μηχανική εκμάθηση

Ο έλεγχος ενός συστήματος είναι γρήγορος χρησιμοποιώντας το Audit Assistant, το οποίο χρησιμοποιεί αλγόριθμους μηχανικής εκμάθησης. Ο βοηθός εντοπίζει όλα τα τρωτά σημεία και τα ιεραρχεί με βάση το επίπεδο εμπιστοσύνης. Οι οργανισμοί μπορούν έτσι να εξοικονομήσουν κόστος ελέγχου καθώς το εργαλείο δημιουργεί αναφορές.

#6. Ευκαμψία

Οι χρήστες μπορούν να επιλέξουν τον τύπο σάρωσης που θέλουν να πραγματοποιήσουν με βάση τις ανάγκες τους. Για παράδειγμα, εάν θέλετε ακριβείς και λεπτομερείς σαρώσεις, μπορείτε να επιλέξετε την επιλογή ολοκληρωμένης σάρωσης. Οι προγραμματιστές μπορούν επίσης να επιλέξουν την επιλογή γρήγορης σάρωσης εάν θέλουν να εντοπίζονται μόνο σημαντικές απειλές.

Τι κάνει το Fortify SCA;

Το Fortify SCA έχει πολλούς ρόλους σε ένα τυπικό οικοσύστημα ανάπτυξης. Οι παρακάτω είναι μερικοί από τους ρόλους.

Η στατική δοκιμή βοηθά στη δημιουργία καλύτερου κώδικα

Το Static Application Security Testing (SAST) βοηθά στον εντοπισμό τρωτών σημείων ασφαλείας στα αρχικά στάδια ανάπτυξης. Ευτυχώς, οι περισσότερες από αυτές τις ευπάθειες ασφαλείας είναι φθηνές για να διορθωθούν.

Μια τέτοια προσέγγιση μειώνει τους κινδύνους ασφαλείας στις εφαρμογές, καθώς η δοκιμή παρέχει άμεση ανατροφοδότηση σχετικά με τα ζητήματα που εισάγονται στον κώδικα κατά την ανάπτυξη.

Οι προγραμματιστές μαθαίνουν επίσης για την ασφάλεια μέσω του Static Application Security Testing και μπορούν έτσι να ξεκινήσουν την παραγωγή ασφαλούς λογισμικού.

Το Fortify SCA χρησιμοποιεί μια εκτεταμένη γνωσιακή βάση κανόνων ασφαλούς κωδικοποίησης και πολλαπλών αλγορίθμων για να αναλύσει τον πηγαίο κώδικα μιας εφαρμογής λογισμικού για τρωτά σημεία ασφαλείας. Η προσέγγιση αναλύει κάθε εφικτό μονοπάτι που μπορούν να ακολουθήσουν τα δεδομένα και η εκτέλεση για τον εντοπισμό τρωτών σημείων και την προσφορά διορθωτικών μέτρων.

Βρίσκει νωρίς ζητήματα ασφάλειας

Το Fortify SCA μιμείται έναν μεταγλωττιστή. Μετά από μια σάρωση Fortify, αυτό το εργαλείο διαβάζει τα αρχεία πηγαίου κώδικα και τα μετατρέπει σε μια ενδιάμεση δομή ενισχυμένη για ανάλυση ασφαλείας.

  Διορθώστε το σφάλμα Yahoo Mail 0x8019019a

Όλα τα τρωτά σημεία ασφαλείας είναι εύκολο να εντοπιστούν στην ενδιάμεση μορφή. Το εργαλείο συνοδεύεται από μια μηχανή ανάλυσης που αποτελείται από πολλούς εξειδικευμένους αναλυτές που στη συνέχεια θα χρησιμοποιήσουν κανόνες ασφαλούς κωδικοποίησης για να αναλύσουν εάν ο κώδικας παραβιάζει οποιουσδήποτε κανόνες ασφαλούς πρακτικής κωδικοποίησης.

Το Fortify SCA συνοδεύεται επίσης από ένα πρόγραμμα δημιουργίας κανόνων, εάν θέλετε να επεκτείνετε τις δυνατότητες στατικής ανάλυσης και να συμπεριλάβετε προσαρμοσμένους κανόνες. Τα αποτελέσματα σε μια τέτοια ρύθμιση μπορούν να προβληθούν σε διαφορετικές μορφές με βάση την εργασία και το κοινό.

Το Fortify Software Security Center (SSC) βοηθά στη διαχείριση των αποτελεσμάτων

Το Fortify Software Security Center (SSC) είναι ένα κεντρικό αποθετήριο διαχείρισης που προσφέρει ορατότητα σε ολόκληρο το πρόγραμμα ασφάλειας εφαρμογών ενός οργανισμού. Μέσω του SSC, οι χρήστες μπορούν να ελέγχουν, να ελέγχουν, να ιεραρχούν και να διαχειρίζονται τις προσπάθειες αποκατάστασης όταν εντοπίζονται απειλές ασφαλείας.

Το Fortify SSC προσφέρει ακριβές εύρος και εικόνα της στάσης ασφαλείας της εφαρμογής σε έναν οργανισμό. Το SSC βρίσκεται σε έναν κεντρικό διακομιστή, αλλά λαμβάνει αποτελέσματα από διαφορετικές δραστηριότητες δοκιμών ασφάλειας εφαρμογών που κυμαίνονται από σε πραγματικό χρόνο, δυναμική έως στατική ανάλυση.

Τι είδους ανάλυση κώδικα μπορεί να κάνει το Fortify SCA;

Μια σάρωση οχυρώσεων δανείζεται από την αρχιτεκτονική των ολέθριων βασιλείων κατά την ανάλυση κώδικα. Αυτοί είναι οι τύποι ανάλυσης που κάνει το Fortify SCA.

  • Επικύρωση και αναπαράσταση εισόδου- τα προβλήματα που σχετίζονται με την επικύρωση και την αναπαράσταση εισόδου προέρχονται από εναλλακτικές κωδικοποιήσεις, αριθμητικές αναπαραστάσεις και μεταχαρακτήρες. Παραδείγματα τέτοιων ζητημάτων είναι οι επιθέσεις “Υπερχείλιση buffer”, “Cross-Site Scripting” και “SQL Injection”, τα οποία προκύπτουν όταν οι χρήστες εμπιστεύονται εισόδους.
  • Κατάχρηση API. Ο καλών που δεν τηρεί τη λήξη της σύμβασης είναι ο πιο συνηθισμένος τύπος κατάχρησης API.
  • Χαρακτηριστικά ασφαλείας. Αυτό το τεστ κάνει διάκριση μεταξύ ασφάλειας λογισμικού και λογισμικού ασφαλείας. Η ανάλυση θα επικεντρωθεί σε θέματα ελέγχου ταυτότητας, διαχείρισης προνομίων, ελέγχου πρόσβασης, εμπιστευτικότητας και κρυπτογράφησης.
  • Χρόνος και Πολιτεία. Οι υπολογιστές μπορούν να κάνουν εναλλαγή μεταξύ διαφορετικών εργασιών πολύ γρήγορα. Η ανάλυση χρόνου και κατάστασης αναζητά ελαττώματα που προκύπτουν από απροσδόκητες αλληλεπιδράσεις μεταξύ νημάτων, πληροφοριών, διαδικασιών και χρόνου.
  • Σφάλματα. Το Fortify SCA θα ελέγξει εάν τα σφάλματα δίνουν πάρα πολλές πληροφορίες σε πιθανούς εισβολείς.
  • Ποιότητα κώδικα. Η κακή ποιότητα κώδικα συνήθως οδηγεί σε απρόβλεπτη συμπεριφορά. Ωστόσο, οι εισβολείς μπορούν να έχουν την ευκαιρία να χειραγωγήσουν μια εφαρμογή προς όφελός τους εάν συναντήσουν κώδικα που δεν είναι γραμμένος σωστά.
  • Ενθυλάκωση. Αυτή είναι η διαδικασία χάραξης ισχυρών ορίων. Μια τέτοια ανάλυση μπορεί να σημαίνει διαφοροποίηση μεταξύ επικυρωμένων και μη επικυρωμένων δεδομένων.
  Πώς να αποθηκεύσετε αντικείμενα Google Slides ως εικόνες

Λήψη και εγκατάσταση του Fortify SCA

Πριν ξεκινήσετε τη διαδικασία εγκατάστασης, πρέπει να

  • Ελέγξτε τις απαιτήσεις συστήματος από την επίσημη τεκμηρίωση
  • Λήψη αρχείου άδειας Fortify. Επιλέξτε το πακέτο σας από τη σελίδα λήψεων Microfocus. Αναζητήστε το Fortify Static Code Analyzer, δημιουργήστε τον λογαριασμό σας και αποκτήστε ένα αρχείο άδειας χρήσης Fortify.

  • Βεβαιωθείτε ότι έχετε εγκαταστήσει τον κώδικα του Visual Studio ή άλλο υποστηριζόμενο πρόγραμμα επεξεργασίας κώδικα

Πώς να εγκαταστήσετε στα Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

Σημείωση: Η <έκδοση> είναι η έκδοση έκδοσης λογισμικού

  • Κάντε κλικ στο Επόμενο μετά την αποδοχή της άδειας χρήσης.
  • Επιλέξτε πού θα εγκαταστήσετε το Fortify Static Code Analyzer και κάντε κλικ στο Next.
  • Επιλέξτε τα στοιχεία που θέλετε να εγκαταστήσετε και κάντε κλικ στο Επόμενο.
  • Καθορίστε τους χρήστες εάν εγκαθιστάτε μια επέκταση για το Visual Studio 2015 ή 2017.
  • Κάντε κλικ στο Επόμενο αφού καθορίσετε τη διαδρομή για το αρχείο fortify.license.
  • Καθορίστε τις ρυθμίσεις που απαιτούνται για την ενημέρωση του περιεχομένου ασφαλείας. Μπορείτε να χρησιμοποιήσετε τον διακομιστή ενημέρωσης Fortify Rulepack καθορίζοντας τη διεύθυνση URL ως https://update.fortify.com. Κάντε κλικ στο Επόμενο.
  • Καθορίστε εάν θέλετε να εγκαταστήσετε ένα δείγμα πηγαίου κώδικα. Κάντε κλικ στο Επόμενο.
  • Κάντε κλικ στο Επόμενο για να εγκαταστήσετε το Fortify SCA και εφαρμογές.
  • Κάντε κλικ στην Ενημέρωση περιεχομένου ασφαλείας μετά την εγκατάσταση και στη συνέχεια στο Τέλος μετά την ολοκλήρωση της εγκατάστασης.

Πώς να εγκαταστήσετε στο Linux

Μπορείτε να ακολουθήσετε τα ίδια βήματα για να εγκαταστήσετε το Fortify SCA σε ένα σύστημα που βασίζεται σε Linux. Ωστόσο, στο πρώτο βήμα, εκτελέστε το ως αρχείο εγκατάστασης.

Fortify_SCA_and_Apps__linux_x64.run

Μπορείτε εναλλακτικά να εγκαταστήσετε το Fortify SCA χρησιμοποιώντας τη γραμμή εντολών.

Ανοίξτε το τερματικό σας και εκτελέστε αυτήν την εντολή 

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Ακολουθήστε όλες τις προτροπές όπως υποδεικνύεται στη γραμμή εντολών μέχρι να ολοκληρώσετε τη διαδικασία εγκατάστασης.

Πώς να εκτελέσετε μια σάρωση Fortify

Μόλις ολοκληρώσετε την εγκατάσταση, είναι ώρα να ρυθμίσετε το εργαλείο για ανάλυση ασφαλείας.

  • Μεταβείτε στον Κατάλογο εγκατάστασης και μεταβείτε στον φάκελο bin χρησιμοποιώντας τη γραμμή εντολών.
  • Πληκτρολογήστε scapostinstall. Στη συνέχεια, μπορείτε να πληκτρολογήσετε s για να εμφανίσετε τις ρυθμίσεις.
  • Ρυθμίστε την τοπική ρύθμιση χρησιμοποιώντας αυτές τις εντολές.

Πληκτρολογήστε 2 για να επιλέξετε Ρυθμίσεις.

Πληκτρολογήστε 1 για να επιλέξετε Γενικά.

Πληκτρολογήστε 1 για να επιλέξετε Locale

Για τη γλώσσα, πληκτρολογήστε Αγγλικά: en για να ορίσετε τη γλώσσα ως Αγγλικά.

  • Διαμόρφωση ενημερώσεων περιεχομένου ασφαλείας. Πληκτρολογήστε 2 για να επιλέξετε Settings και μετά πληκτρολογήστε ξανά 2 για να επιλέξετε Fortify Update. Τώρα μπορείτε να χρησιμοποιήσετε τον διακομιστή ενημέρωσης του Fortify Rulepack καθορίζοντας τη διεύθυνση URL ως https://update.fortify.com.
  • Πληκτρολογήστε sourceanalyzer για να ελέγξετε εάν το εργαλείο είναι πλήρως εγκατεστημένο.

Το Fortify SCA θα εκτελείται τώρα στο παρασκήνιο και θα ελέγχει όλο τον κώδικά σας για ευπάθειες ασφαλείας.

Τυλίγοντας

Οι περιπτώσεις χακαρίσματος συστημάτων και παραβίασης δεδομένων έχουν γίνει αχαλίνωτες σε αυτήν την εποχή του Διαδικτύου. Ευτυχώς, τώρα διαθέτουμε εργαλεία όπως το Fortify Static Code Analyzer που μπορεί να ανιχνεύσει απειλές ασφαλείας καθώς γράφεται κώδικας, να στείλει ειδοποιήσεις και να δώσει συστάσεις για το χειρισμό τέτοιων απειλών. Το Fortify SCA μπορεί να αυξήσει την παραγωγικότητα και να μειώσει το λειτουργικό κόστος όταν χρησιμοποιείται με άλλα εργαλεία.

Μπορείτε επίσης να εξερευνήσετε την Ανάλυση Σύνθεσης Λογισμικού (SCA) για να βελτιώσετε την ασφάλεια της εφαρμογής σας.