Fortify

Статья об инструменте, который позволяет контролировать безопасность приложения на всех этапах цикла разработки.

Что такое Fortify

Инструмент кибербезопасности, который обеспечивает безопасность приложений на каждом этапе их жизненного цикла, от разработки до развертывания и обслуживания. У Fortify высокая степень интеграции с процессами разработки ПО. Это позволяет разработчикам и аналитикам безопасности совместно обнаруживать и устранять уязвимости.

Основные компоненты

  1. Fortify Static Code Analyzer (SCA) — инструмент статического анализа кода, который обнаруживает уязвимости в исходном коде еще до выполнения программы.

  2. Fortify WebInspect — динамический анализатор веб-приложений для выполнения автоматизированного тестирования безопасности.

  3. Fortify Software Security Center — веб-интерфейс управления, который помогает приоритизировать и следить за уязвимостями на протяжении всего SDLC.

  4. Fortify on Demand — облачная услуга, которая предлагает тестирование безопасности и аудиты на основе подписки (не для русских).

Возможности Fortify

  • Обнаружение широкого спектра уязвимостей в исходном коде.

  • Возможность интеграции в IDE, системы сборки и CI/CD пайплайны (непрерывной интеграции и непрерывного развертывания).

  • Автоматизированные и встроенные инструменты для обеспечения безопасности, которые поддерживают разработчиков в раннем выявлении проблем безопасности.

  • Отчеты и панели управления для просмотра статусов уязвимостей и слежения за улучшениями безопасности.

Недостатки Fortify

  • Хардовые настройки и обучение: потребуются ресурсы, чтобы ввести инструмент в компанию

  • Дорого

  • Иногда большое количество ложных срабатываний, что требует дополнительного времени на анализ и исправление отчетов.

Где применяют Fortify

  • Предприятие — для анализа своих многоязычных веб-приложений на различных этапах разработки, обнаруживая уязвимости как в новом, так и в существующем коде.

  • Разработчики — интегрируют Fortify SCA в свои ежедневные процессы разработки, чтобы обеспечивать безопасность кода до его отправки в производственную среду.

  • Команды безопасности — для проведения регулярных аудитов безопасности с целью соответствия нормативным требованиям и стандартам.

Last updated