Fortify應用安全整體解決方案

1、HPE Fortify 應用安全整體解決方案技術創(chuàng)新，變革未來網(wǎng)絡主機Security MeasuresSwitch/Router securityFirewallsNIPS/NIDSVPNNet-ForensicsAnti-Virus/Anti-SpamDLPHost FWHost IPS/IDSVuln. Assessment tools軟件應用是黑客的主要目標知識產(chǎn)權用戶資料業(yè)務流程商業(yè)機密應用84%的攻擊入侵發(fā)生在應用層為什么用HPE Fortify：高瞻遠矚，解決未發(fā)生的安全問題；高效，快速徹底地解決軟件問題豐富的應用，軟件形式，開發(fā)模式，開發(fā)語言； 想豐富軟件測試的能力與手段表“帥

2、”，敢想敢干，敢在軟件開發(fā)過程中找安全；率先引入軟件安全保證體系高：富：帥 ：修復漏洞的成本產(chǎn)品上線系統(tǒng)測試單元測試編碼需求分析30X15X10X5X2X成本在產(chǎn)品上線階段修復漏洞的成本多花費超過30倍運行時刻分析在運行系統(tǒng)的實時保護黑客漏洞管理(靜態(tài), 動態(tài), 運行時刻)集成構建靜態(tài)分析源代碼動態(tài)分析應用程序運行在QA/生產(chǎn)環(huán)境VulnerabilityDatabase安全& 開發(fā)人員應用安全修復相關的目標漏洞應用生命周期所有相關人員風險降低的衡量標準Threat Driven Central Rules ManagementNormalization(Scoring, Guidance)C

3、orrelation(Static, Dynamic, Runtime)HPE Fortify 應用安全整體解決方案靜態(tài)分析 發(fā)現(xiàn)和修復源代碼的安全隱患HPE Fortify Static Code Analyzer (SCA)特征:靜態(tài)應用程序安全性測試，自動化識別在開發(fā)期間應用程序源代碼的安全漏洞查明源代碼漏洞的根本原因，提供詳盡的修復指導最廣泛的安全漏洞規(guī)則，多維度分析源代碼安全問題支持21種語言,500 +漏洞類別ABAP、ASP.NET、C,C+、C#、Classic ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJA

4、X、JSP、Objective C、PL/SQL、PHPE、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTMLFortify SCA 產(chǎn)品組件及功能Source Code Analysis Engine（源代碼分析引擎） 數(shù)據(jù)流分析引擎-跟蹤,記錄并分析程序中的數(shù)據(jù)傳遞過程的安全問題 語義分析引擎-分析程序中不安全的函數(shù),方法的使用的安全問題 結構分析引擎-分析程序上下文環(huán)境,結構中的安全問題 控制流分析引擎-分析程序特定時間,狀態(tài)下執(zhí)行操作指令的安全問題 配置分析引擎 -分析項目配置文件中的敏感信息和配置缺失的安全問題 特有的X-Tier跟蹤器-跨躍項目的上下

5、層次,貫穿程序來綜合分析問題Secure Coding Rulepacks （安全編碼規(guī)則包） Audit Workbench（審查工作臺）Custom Rule Editor & Custom Rule Wizard(規(guī)則自定義編輯器和向導) Developer Desktop (IDE 插件）Fortify SCA 工作原理Audit WorkbenchAnalysis EngineSemanticGlobal Data FlowControl FlowConfigurationStructuralHPE Software Security Center ServerRules Build

6、erFront-EndJavaC/C+.NETTSQLJSPPLSQLXMLNSTPre-PackagedCustom3rd party IDE Plug-In.fvdl/.fprFortify 漏洞審計-Audit Workbench分級報告漏洞的信息項目的源代碼漏洞推薦修復的方法漏洞產(chǎn)生的全路徑的跟蹤信息漏洞的詳細說明Audit Workbench-AuditAudit Workbench-ReportHPE Fortify源代碼安全測試工具的優(yōu)勢無論全球范圍內(nèi)還是國內(nèi)市場，HPE Fortify SCA都擁有最大的市場份額和最高的用戶口碑，全球超過1000家用戶，尤其在銀行金融領域有最為

7、廣泛的應用。依靠惠普全球領先的應用安全研發(fā)實力和客戶服務經(jīng)驗，向客戶提供最專業(yè)的原廠服務。Fortify測試速度業(yè)界最快，唯一采用最先進的多核編程技術開發(fā)的產(chǎn)品，掃描速度比同類其他產(chǎn)品快數(shù)倍。Fortify界面友好，安裝配置非常簡單，易操作，測試結果生成特有的FPR文件，無需數(shù)據(jù)庫支持Fortify完全支持掃描超大型項目，如百萬行級以上代碼的項目。同類其他產(chǎn)品可能無法啟動。擁有目前業(yè)界最權威的代碼漏洞規(guī)則庫，能夠檢測出500多種問題，業(yè)界最多。結果最全面和準確?？梢灾С趾蚅DAP、BUG跟蹤系統(tǒng)、自動化構建工具、版本管理等工具的集成?？梢院蚖eb應用動態(tài)安全測試工具做黑白盒關聯(lián)分析。 支持的開

8、發(fā)語言最多，支持的操作系統(tǒng)最多。動態(tài)分析發(fā)現(xiàn)在運行應用程序的安全問題HPE WebInspect特征:領先的自動化應用安全測試解決方案對Web應用、WebServices進行安全檢測對Web應用技術的廣泛支持 AJAX、JavaScript、Flash、Silverlight、Web Services等簡單易用的“指導精靈” ,花費最少的時間在掃瞄設定自動更新安全規(guī)則自動產(chǎn)生缺陷報告和詳細修復建議新功能: HPE WebInspect 與WAF & TippingPoint整合防御PartnersF5 WAF ( OK ) Imperva (upcoming)新功能: HPE WebInspe

9、ct 與 F5 WAF 整合防御新功能: HPE WebInspect 與HPE功能測試產(chǎn)品(UFT)的集成Install HPE UFT. (prerequisite)Select “Workflows.”Select the UFT scripts.Scripts are played & locations are captured.Acquired locations are analyzed (crawled & audited)2013最新版V10.1的功能運用功能測試錄制腳本進行軟件安全風險測試管理、跟蹤和修復企業(yè)軟件風險HPE Fortify Software Security

10、 Center server幫助軟件開發(fā)的管理人員統(tǒng)計和分析軟件安全的風險、趨勢，跟蹤和定位軟件安全漏洞，提供足夠多的軟件安全質量方面的真實的狀態(tài)信息以便于管理人員制定安全管理決策及編碼規(guī)則特征:集中管理化分優(yōu)先級標記趨勢 協(xié)同工作平臺產(chǎn)生多種報表在線系統(tǒng)的檢測、預防和應用程序安全事件日志HPE Fortify RuntimeRuntime Application Protection提供對WEB應用系統(tǒng)運行時刻的防護和監(jiān)控功能 Runtime Application Logging向SIEM管理 平臺記錄應用安全信息和用戶活動事件的日志實現(xiàn)與ArcSight ESM集成Security Scope 實現(xiàn)Fortify SCA靜態(tài)安全測試結果與WebInspect動態(tài)安全測試結果的關聯(lián)分析靜態(tài)，動態(tài)和運行時刻分析相結合的安全測試HPE Fortify Runtime混合分析靜動態(tài)安全測試關聯(lián)分析 通過HPE WebInspect獲得動態(tài)應用安全測試的結果通過HPE Fortify SC