Шта је Фортифи СЦА и како га инсталирати?

by
Tweet
Share
Share
Pin

Фортифи Статиц Цоде Анализер (СЦА) анализира изворни код и открива основни узрок сигурносних пропуста.

Фортифи скенирање даје приоритет најозбиљнијим проблемима и наводи како програмери треба да их поправе.

Фортифи Статиц Цоде Анализер

Фортифи Статиц Цоде Анализер има различите анализаторе рањивости као што су бафер, садржај, ток контроле, ток података, семантички, конфигурациони и структурални. Сваки од ових анализатора прихвата другачију врсту правила која су прилагођена да понуде информације неопходне за врсту анализе која се обавља.

Фортифи Статиц Цоде Анализер има следеће компоненте;

  • Фортифи Сцан Визард. То је алатка која нуди опције за покретање скрипти након или пре анализе.
  • Ревизијски радни сто. То је апликација заснована на ГУИ која организује и управља анализираним резултатима.
  • Уређивач прилагођених правила. То је алатка која омогућава програмерима да креирају и уређују прилагођена правила за анализу.
  • Додатак за ИнтеллиЈ и Андроид Студио. Овај додатак пружа резултате анализе унутар ИДЕ-а.
  • Додатак за Ецлипсе. Овај алат је интегрисан са Ецлипсе-ом и приказује резултате унутар ИДЕ-а.
  • Бамбоо Плугин. То је додатак који прикупља резултате из Бамбоо Јоб-а који покреће анализу.
  • Џенкинс додатак. Овај додатак прикупља резултате анализе из Јенкинсовог посла.

Карактеристике Фортифи СЦА

#1. Подржава више језика

Неки од језика подржаних на Фортифи СЦА су; АБАП/БСП, АцтионСцрипт, АСП (са ВБСцрипт), ЦОБОЛ, ЦолдФусион, Апек, АСП.НЕТ, Ц# (.НЕТ), Ц/Ц++, Цлассиц, ВБ.НЕТ, ВБСцрипт, ЦФМЛ, Го, ХТМЛ, Јава (укључујући Андроид ), ЈаваСцрипт/АЈАКС, ЈСП, Котлин, Висуал Басиц, МКСМЛ (Флек), Објецтиве Ц/Ц++, ПХП, ПЛ/СКЛ, Питхон, Руби, Свифт, Т-СКЛ и КСМЛ.

#2. Флексибилне опције постављања

  • Фортифи Он-Прем омогућава организацији потпуну контролу над свим аспектима Фортифи СЦА.
  • Фортифи Он Деманд омогућава програмерима да раде у окружењу софтвера као услуге.
  • Фортифи Хостед омогућава програмерима да уживају у оба два света (Он Деманд и Он-Прем) кроз изоловано виртуелно окружење са потпуном контролом података.
  Како направити прилагођене налепнице у Снапцхату

#3. Лако се интегрише са ЦИ/ЦД алатима

  • Програмери могу лако да интегришу Фортифи СЦА са главним ИДЕ-овима као што су Висуал Студио и Ецлипсе.
  • Програмери имају контролу над различитим радњама јер се алат интегрише са алатима отвореног кода као што су Сонатипе, ВхитеСоурце, Сник и БлацкДуцк.
  • Такође можете да интегришете Фортифи СЦА са удаљеним репозиторијумима кода као што су Битбуцкет и ГитХуб. Алат тако може да проверава код који је гурнут на такве платформе на рањивости и шаље извештаје.

#4. Упозорења у реалном времену

Не морате да чекате док не завршите са кодирањем да бисте обавили своје тестове, јер Фортифи СЦА даје ажурирања у реалном времену док кодирате. Алат има конфигурационе и структурне анализаторе направљене за брзину и ефикасност и помаже вам да креирате безбедне апликације.

#5. Аудит Ассистант који покреће машинско учење

Ревизија система је брза помоћу Аудит Ассистант-а, који користи алгоритме машинског учења. Асистент идентификује све рањивости и даје им приоритет на основу нивоа поверења. Организације тако могу да уштеде на трошковима ревизије јер алат генерише извештаје.

#6. Флексибилност

Корисници могу да изаберу тип скенирања који желе да спроведу на основу својих потреба. На пример, ако желите тачна и детаљна скенирања, можете одабрати опцију свеобухватног скенирања. Програмери такође могу да изаберу опцију брзог скенирања ако желе да се открију само велике претње.

Шта ради Фортифи СЦА?

Фортифи СЦА има неколико улога у типичном развојном екосистему. Следе неке од улога;

Статичко тестирање помаже у изградњи бољег кода

Статичко тестирање безбедности апликација (САСТ) помаже у идентификацији безбедносних рањивости у раним фазама развоја. Срећом, већина ових безбедносних пропуста је јефтина за отклањање.

Такав приступ смањује безбедносне ризике у апликацијама јер тестирање пружа тренутне повратне информације о проблемима уведеним у код током развоја.

Програмери такође уче о безбедности путем статичког тестирања безбедности апликација и тако могу да почну да производе безбедни софтвер.

Фортифи СЦА користи експанзивну базу знања правила безбедног кодирања и више алгоритама за анализу изворног кода софтверске апликације на безбедносне пропусте. Приступ анализира сваки изводљив пут који подаци и извршење могу да прате да би се идентификовале рањивости и понудили лекови.

Рано проналази безбедносне проблеме

Фортифи СЦА опонаша компајлер. Након Фортифи скенирања, овај алат чита датотеке изворног кода и претвара их у средњу структуру побољшану за безбедносну анализу.

  7 најбољих Вики решења за мала и предузећа која сами хостују

Све безбедносне пропусте је лако лоцирати у средњем формату. Алат долази са мотором за анализу који се састоји од више специјализованих анализатора који ће затим користити правила безбедног кодирања да анализирају да ли код крши било која правила безбедног кодирања.

Фортифи СЦА такође долази са алатом за прављење правила ако желите да проширите могућности статичке анализе и укључите прилагођена правила. Резултати у таквом окружењу могу се видети у различитим форматима на основу задатка и публике.

Фортифи Софтваре Сецурити Центер (ССЦ) помаже у управљању резултатима

Фортифи Софтваре Сецурити Центер (ССЦ) је централизовано складиште за управљање које нуди видљивост целог безбедносног програма организације. Преко ССЦ-а, корисници могу да врше ревизију, прегледају, одређују приоритете и управљају напорима за решавање проблема када се идентификују безбедносне претње.

Фортифи ССЦ нуди тачан обим и слику безбедносног положаја апликације у организацији. ССЦ се налази на централном серверу, али прима резултате од различитих активности тестирања безбедности апликација у распону од реалног времена, динамичке, до статичке анализе.

Коју врсту анализе кода може да уради Фортифи СЦА?

Учвршћивање скенирања позајмљује архитектуру погубних краљевстава када се ради анализа кода. Ово су врсте анализа које Фортифи СЦА ради;

  • Валидација и представљање улаза – проблеми повезани са валидацијом и репрезентацијом улаза потичу од алтернативних кодирања, нумеричких репрезентација и метакарактера. Примери таквих проблема су „препуњавање бафера“, напади „унакрсне скрипте“ и „СКЛ Ињецтион“, који настају када корисници верују улазима.
  • АПИ злоупотреба. Позивалац који не испоштује крај уговора је најчешћи тип злоупотребе АПИ-ја.
  • Безбедносне функције. Овај тест прави разлику између безбедности софтвера и безбедносног софтвера. Анализа ће се фокусирати на аутентификацију, управљање привилегијама, контролу приступа, поверљивост и питања криптографије.
  • Време и држава. Рачунари могу веома брзо да прелазе између различитих задатака. Анализа времена и стања тражи дефекте који настају услед неочекиваних интеракција између нити, информација, процеса и времена.
  • Грешке. Фортифи СЦА ће проверити да ли грешке дају превише информација потенцијалним нападачима.
  • Квалитет кода. Лош квалитет кода обично доводи до непредвидивог понашања. Међутим, нападачи могу имати прилику да манипулишу апликацијом у своју корист ако наиђу на код који је лоше написан.
  • Енкапсулација. Ово је процес повлачења чврстих граница. Таква анализа може значити разликовање валидираних и непотврђених података.
  Шта је тактика са нултим фонтом у преварама е-поште?

Преузмите и инсталирајте Фортифи СЦА

Пре него што започнете процес инсталације, морате;

  • Проверите системске захтеве из службене документације
  • Преузмите датотеку лиценце Фортифи. Изаберите свој пакет са странице за преузимање Мицрофоцус-а. Потражите Фортифи Статиц Цоде Анализер, креирајте свој налог и преузмите датотеку лиценце Фортифи.

  • Уверите се да имате инсталиран Висуал Студио Цоде или неки други подржани уређивач кода

Како инсталирати на Виндовс

Fortify_SCA_and_Apps_<version>_windows_x64.exe

Напомена: <версион> је верзија издања софтвера

  • Кликните на Даље након прихватања уговора о лиценци.
  • Изаберите где да инсталирате Фортифи Статиц Цоде Анализер и кликните на Нект.
  • Изаберите компоненте које желите да инсталирате и кликните на Нект.
  • Наведите кориснике ако инсталирате екстензију за Висуал Студио 2015 или 2017.
  • Кликните на Нект након што наведете путању за датотеку фортифи.лиценсе.
  • Наведите подешавања потребна за ажурирање безбедносног садржаја. Можете да користите сервер за ажурирање Фортифи Рулепацк тако што ћете навести УРЛ као хттпс://упдате.фортифи.цом. Кликните на Нект.
  • Наведите да ли желите да инсталирате узорак изворног кода. Кликните на Нект.
  • Кликните на Даље да бисте инсталирали Фортифи СЦА и апликације.
  • Кликните на Ажурирај безбедносни садржај након инсталације, а затим на Заврши након завршетка инсталације.

Како инсталирати на Линук

Можете пратити исте кораке да бисте инсталирали Фортифи СЦА на систем заснован на Линук-у. Међутим, на првом кораку, покрените ово као инсталациони фајл;

Fortify_SCA_and_Apps__linux_x64.run

Алтернативно можете инсталирати Фортифи СЦА користећи промпт командне линије.

Отворите свој терминал и покрените ову команду 

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Пратите сва упутства према упутствима на командној линији док не завршите процес инсталације.

Како покренути Фортифи скенирање

Када завршите са инсталацијом, време је да подесите алатку за безбедносну анализу.

  • Пређите до директоријума за инсталацију и идите до фасцикле бин помоћу командне линије.
  • Откуцајте сцапостинсталл. Затим можете да откуцате с да бисте приказали подешавања.
  • Подесите локализацију користећи ове команде;

Унесите 2 да бисте изабрали Подешавања.

Унесите 1 да бисте изабрали Генерал.

Унесите 1 да бисте изабрали Локал

За језик откуцајте енглески: ен да бисте језик поставили као енглески.

  • Конфигуришите ажурирања безбедносног садржаја. Унесите 2 да бисте изабрали Подешавања, а затим поново укуцајте 2 да бисте изабрали Фортифи Упдате. Сада можете да користите сервер за ажурирање Фортифи Рулепацк тако што ћете навести УРЛ као хттпс://упдате.фортифи.цом.
  • Унесите соурцеанализер да бисте проверили да ли је алатка у потпуности инсталирана.

Фортифи СЦА ће сада радити у позадини и проверавати сав ваш код на безбедносне пропусте.

Окончање

Случајеви хаковања система и компромитовања података постали су све присутнији у овој интернет ери. Срећом, сада имамо алате као што је Фортифи Статиц Цоде Анализер који може да открије безбедносне претње док се код пише, шаље упозорења и даје препоруке за руковање таквим претњама. Фортифи СЦА може повећати продуктивност и смањити оперативне трошкове када се користи са другим алатима.

Такође можете да истражите анализу састава софтвера (СЦА) да бисте побољшали безбедност своје апликације.