Tin tức và phân tích của tất cả các thiết bị di động
blogs3

Fortify SCA là gì và làm cách nào để cài đặt nó?

Trình phân tích mã tĩnh Fortify (SCA) phân tích mã nguồn và xác định nguyên nhân gốc rễ của các lỗ hổng.

Quá trình quét Fortify ưu tiên các vấn đề nghiêm trọng nhất và chỉ ra cách các nhà phát triển nên khắc phục chúng.

Tăng cường bộ phân tích mã tĩnh

Fortify Static Code Phân tích có nhiều công cụ phân tích lỗ hổng khác nhau như Bộ đệm, Nội dung, Luồng điều khiển, Luồng dữ liệu, Ngữ nghĩa, Cấu hình và Cấu trúc. Mỗi máy phân tích này chấp nhận một loại quy tắc khác nhau, được điều chỉnh để cung cấp thông tin cần thiết cho loại phân tích đang được thực hiện.

Trình phân tích mã tĩnh Fortify có các thành phần sau;

  • Bật nguồn trình hướng dẫn quét. Nó là một công cụ cung cấp các tùy chọn để chạy tập lệnh sau hoặc trước khi phân tích.
  • Vị trí kiểm toán. Nó là một ứng dụng dựa trên giao diện đồ họa người dùng để tổ chức và quản lý các kết quả được phân tích.
  • Trình chỉnh sửa quy tắc tùy chỉnh. Nó là một công cụ cho phép các nhà phát triển tạo và chỉnh sửa các quy tắc tùy chỉnh để phân tích.
  • Plugin cho IntelliJ và Android Studio. Plugin này cung cấp kết quả phân tích trong IDE.
  • Plugin cho Eclipse. Công cụ này được tích hợp với Eclipse và hiển thị kết quả trong IDE.
  • Cắm tre. Đây là một plugin thu thập kết quả từ công việc phân tích của Bamboo.
  • Trình cắm Jenkins. Plugin này thu thập kết quả phân tích từ Jenkins Job.

Các tính năng của Fortify SCA

# 1. Nó hỗ trợ nhiều ngôn ngữ

Một số ngôn ngữ được hỗ trợ trong Fortify SCA là; ABAP/BSP, ActionScript, ASP (với VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (bao gồm. Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL và XML.

#2. Tùy chọn triển khai linh hoạt

  • Fortify On-Prem cung cấp cho tổ chức của bạn toàn quyền kiểm soát tất cả các khía cạnh của Fortify SCA.
  • Fortify On Demand cho phép các nhà phát triển làm việc trong môi trường Phần mềm dưới dạng dịch vụ.
  • Fortify Hosted cho phép các nhà phát triển tận hưởng cả hai thế giới (theo yêu cầu và tại chỗ) thông qua một môi trường ảo biệt lập với toàn quyền kiểm soát dữ liệu.

#3. Dễ dàng tích hợp với các công cụ CI/CD

  • Các nhà phát triển có thể dễ dàng tích hợp Fortify SCA với các IDE chính như Visual Studio và Eclipse.
  • Các nhà phát triển có quyền kiểm soát các hoạt động khác nhau khi công cụ này tích hợp với các công cụ nguồn mở như Sonatype, WhiteSource, Snyk và BlackDuck.
  • Bạn cũng có thể tích hợp Fortify SCA với các kho lưu trữ mã từ xa như Bitbucket và GitHub. Do đó, công cụ này có thể kiểm tra mã được tải lên các nền tảng như vậy để tìm lỗ hổng và gửi báo cáo.

#4. Cảnh báo thời gian thực

Bạn không cần phải đợi cho đến khi viết mã xong mới chạy thử nghiệm vì Fortify SCA cung cấp các cập nhật theo thời gian thực trong khi bạn viết mã. Công cụ này bao gồm các bộ phân tích cấu hình và cấu trúc được xây dựng để tăng tốc độ và hiệu suất, đồng thời giúp bạn xây dựng các ứng dụng an toàn.

#5. Trợ lý kiểm tra dựa trên máy học

Quá trình kiểm tra hệ thống diễn ra nhanh chóng nhờ Trợ lý kiểm tra, sử dụng thuật toán học máy. Trợ lý xác định tất cả các lỗ hổng và ưu tiên chúng dựa trên mức độ tin cậy. Do đó, các tổ chức có thể tiết kiệm chi phí kiểm toán khi công cụ này tạo báo cáo.

#6. Uyển chuyển

Người dùng có thể chọn kiểu quét họ muốn thực hiện dựa trên nhu cầu của họ. Ví dụ: nếu bạn muốn quét chính xác và chi tiết, bạn có thể chọn tùy chọn quét toàn diện. Các nhà phát triển cũng có thể chọn tùy chọn quét nhanh nếu họ chỉ muốn phát hiện các mối đe dọa nghiêm trọng.

Fortify SCA làm gì?

Fortify SCA đóng một số vai trò trong hệ sinh thái phát triển điển hình. Dưới đây là một số vai trò;

Kiểm tra tĩnh giúp bạn xây dựng mã tốt hơn

Kiểm thử bảo mật ứng dụng tĩnh (SAST) giúp xác định các lỗ hổng trong giai đoạn đầu phát triển. May mắn thay, việc sửa hầu hết các lỗ hổng này không tốn kém.

Cách tiếp cận này làm giảm rủi ro bảo mật trong các ứng dụng vì thử nghiệm cung cấp phản hồi ngay lập tức về các vấn đề được đưa vào mã trong quá trình phát triển.

Các nhà phát triển cũng tìm hiểu về bảo mật thông qua thử nghiệm bảo mật ứng dụng tĩnh để họ có thể bắt đầu sản xuất phần mềm bảo mật.

Fortify SCA sử dụng nền tảng kiến ​​thức sâu rộng về các quy tắc mã hóa an toàn và nhiều thuật toán để phân tích mã nguồn ứng dụng để tìm lỗ hổng. Cách tiếp cận này xem xét mọi con đường khả thi mà dữ liệu và quá trình thực thi có thể thực hiện để xác định các lỗ hổng và đề xuất các biện pháp đối phó.

Phát hiện sớm các vấn đề bảo mật

Fortify SCA bắt chước trình biên dịch. Sau khi quét Fortify, công cụ này đọc các tệp mã nguồn và chuyển đổi chúng thành cấu trúc trung gian được nâng cao để phân tích bảo mật.

Tất cả các lỗ hổng đều dễ dàng được xác định ở định dạng trung gian. Công cụ này đi kèm với một công cụ phân tích bao gồm một số máy phân tích chuyên dụng, sau đó sử dụng các quy tắc mã hóa an toàn để phân tích xem mã có vi phạm bất kỳ quy tắc mã hóa an toàn nào hay không.

Fortify SCA cũng đi kèm với trình tạo quy tắc nếu bạn muốn mở rộng khả năng phân tích tĩnh và bao gồm các quy tắc tùy chỉnh. Kết quả trong cài đặt này có thể được hiển thị ở các định dạng khác nhau tùy thuộc vào công việc và đối tượng.

Trung tâm bảo mật phần mềm Fortify (SSC) giúp bạn quản lý kết quả của mình

Trung tâm bảo mật phần mềm Fortify (SSC) là kho lưu trữ quản lý tập trung cung cấp khả năng hiển thị toàn bộ chương trình bảo mật ứng dụng của tổ chức. Với SSC, người dùng có thể kiểm tra, đánh giá, ưu tiên và quản lý biện pháp khắc phục khi xác định được các mối đe dọa bảo mật.

Fortify SSC cung cấp phạm vi và hình ảnh chính xác về trạng thái bảo mật của các ứng dụng trong tổ chức. SSC nằm trên một máy chủ trung tâm nhưng nhận kết quả từ nhiều hoạt động kiểm tra bảo mật ứng dụng khác nhau, từ phân tích động theo thời gian thực đến phân tích tĩnh.

Fortify SCA có thể thực hiện loại phân tích mã nào?

Quá trình quét củng cố mượn kiến ​​trúc của các thế giới nguy hiểm khi phân tích mã. Dưới đây là các loại phân tích mà Fortify SCA thực hiện;

  • Xác thực và biểu diễn đầu vào – Các vấn đề về xác thực và biểu diễn đầu vào phát sinh từ mã hóa thay thế, biểu diễn số và siêu ký tự. Ví dụ về các vấn đề như vậy là các cuộc tấn công “Tràn bộ đệm”, “Tập lệnh chéo trang” và “Tiêm SQL” xảy ra khi người dùng tin tưởng vào dữ liệu đầu vào.
  • Lạm dụng API. Mặc định người gọi là loại lạm dụng API phổ biến nhất.
  • Chức năng liên quan đến bảo mật. Thử nghiệm này phân biệt giữa phần mềm bảo mật và phần mềm bảo mật. Phân tích sẽ tập trung vào các vấn đề liên quan đến xác thực, quản lý quyền, kiểm soát truy cập, bảo mật và mật mã.
  • Thời gian và điều kiện. Máy tính có thể chuyển đổi giữa các tác vụ khác nhau rất nhanh chóng. Phân tích thời gian và trạng thái tìm kiếm các lỗi phát sinh từ sự tương tác không mong muốn giữa các luồng, thông tin, quy trình và thời gian.
  • Sai lầm. Fortify SCA sẽ kiểm tra xem các lỗi có cung cấp quá nhiều thông tin cho những kẻ tấn công tiềm năng hay không.
  • Chất lượng mã. Chất lượng mã kém thường dẫn đến hành vi không thể đoán trước. Tuy nhiên, những kẻ tấn công có thể có cơ hội thao túng ứng dụng để có lợi cho chúng nếu chúng gặp phải mã được viết sai.
  • Đóng gói. Đó là một quá trình thiết lập ranh giới mạnh mẽ. Phân tích như vậy có thể có nghĩa là phân biệt giữa dữ liệu được xác minh và chưa được xác minh.

Tải xuống và cài đặt Fortify SCA

Trước khi bắt đầu quá trình cài đặt, bạn phải;

  • Kiểm tra các yêu cầu hệ thống từ tài liệu chính thức
  • Tải xuống tệp giấy phép Fortify. Chọn gói của bạn từ trang tải xuống Microfocus. Tìm kiếm Fortify Static Code Analyser, tạo tài khoản và nhận tệp giấy phép Fortify.
  • Đảm bảo bạn đã cài đặt Visual Studio Code hoặc trình soạn thảo mã được hỗ trợ khác

Cách cài đặt trên hệ thống Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

Lưu ý: Đây là phiên bản phần mềm

  • Nhấp vào Tiếp theo sau khi chấp nhận thỏa thuận cấp phép.
  • Chọn nơi cài đặt Fortify Static Code Analyser và nhấp vào Tiếp theo.
  • Chọn các thành phần bạn muốn cài đặt và nhấp vào Tiếp theo.
  • Chỉ định người dùng nếu bạn đang cài đặt tiện ích mở rộng cho Visual Studio 2015 hoặc 2017.
  • Nhấp vào Tiếp theo sau khi chỉ định đường dẫn đến tệp fortify.license.
  • Chỉ định các cài đặt cần thiết để cập nhật nội dung bảo mật. Bạn có thể sử dụng máy chủ cập nhật Fortify Rulepack bằng cách chỉ định URL là https://update.fortify.com. Bấm tiếp.
  • Chỉ định xem bạn có muốn cài đặt mã nguồn mẫu hay không. Bấm tiếp.
  • Nhấp vào Tiếp theo để cài đặt Fortify SCA và ứng dụng.
  • Nhấp vào Cập nhật nội dung bảo mật sau khi cài đặt rồi nhấp vào Hoàn tất khi quá trình cài đặt hoàn tất.

Cách cài đặt trên Linux

Bạn có thể làm theo các bước tương tự để cài đặt Fortify SCA trên Linux. Tuy nhiên, ở bước đầu tiên, hãy chạy tệp này dưới dạng tệp cài đặt;

Fortify_SCA_and_Apps__linux_x64.run

Ngoài ra, bạn có thể cài đặt Fortify SCA bằng dòng lệnh.

Mở terminal và chạy lệnh này

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Làm theo tất cả lời nhắc trên dòng lệnh cho đến khi quá trình cài đặt hoàn tất.

Cách chạy quét Fortify

Sau khi quá trình cài đặt hoàn tất, đã đến lúc thiết lập công cụ phân tích bảo mật.

  • Đi tới thư mục cài đặt và điều hướng đến thư mục bin bằng dòng lệnh.
  • Gõ scapostinstall. Sau đó, bạn có thể nhập s để xem cài đặt.
  • Định cấu hình ngôn ngữ bằng các lệnh này;

Đi vào 2để chọn Cài đặt.

Đi vào 1để chọn Chung.

Đi vào 1để chọn một địa phương

Để chọn ngôn ngữ bạn gõ English:en để cài ngôn ngữ sang tiếng Anh.

  • Định cấu hình cập nhật nội dung bảo mật. Đi vào 2để chọn Cài đặt, sau đó nhập lại 2để chọn Cập nhật tăng cường. Bây giờ bạn có thể sử dụng máy chủ cập nhật Fortify Rulepack bằng cách chỉ định URL là https://update.fortify.com.
  • Nhập sourceanalyzer để xác minh rằng công cụ đã được cài đặt đầy đủ.

Fortify SCA bây giờ sẽ chạy ở chế độ nền và kiểm tra tất cả mã để tìm lỗ hổng.

Bản tóm tắt

Các sự cố hack hệ thống và xâm phạm dữ liệu đã trở nên phổ biến trong thời đại internet. May mắn thay, hiện tại chúng tôi có các công cụ như Fortify Static Code Phân tích có thể phát hiện các mối đe dọa bảo mật khi bạn viết mã, cảnh báo cho bạn và đưa ra đề xuất để xử lý các mối đe dọa đó. Fortify SCA có thể tăng năng suất và giảm chi phí vận hành khi sử dụng cùng với các công cụ khác.

Bạn cũng có thể xem Phân tích thành phần phần mềm (SCA) để cải thiện tính bảo mật của ứng dụng.

Khuyến Khích: