Kraken
  • 🐙Привет!
    • 👋Добро пожаловать!
  • ✏️Крупицы знаний
    • 🌚Общие статьи
      • Как установить Kali Linux
      • Как поставить виртуальную Kali Linux
      • Что такое CVE
      • Обзор популярных алгоритмов хеширования
      • Модель OSI
      • Какие есть алгоритмы шифрования
      • Что такое TCP/IP
      • HSTS
      • Что такое хеширование и как его используют в ИБ
      • Скрипт для проверки данных SSL-сертификата
      • Шифруем файлы на Kali Linux с помощью OpenSSL
      • Как работает WPA2
      • О протоколе FTP
      • Что такое CVSS
      • Что такое политика одного источника (SOP)
      • О Cross-Origin Resource Sharing (CORS)
      • О Content Security Policy (CSP)
      • Что такое Bash
      • Веб-сокеты
      • MITRE ATT&CK
      • Начало в OSINT
      • Особенности и подходы к тестированию мобильных приложений
      • Что такое REST
      • Что такое API
      • Сравнение безопасности среды iOS и Android
      • CSS в ИБ
    • 🎪Карьера
      • Какие бывают роли у пентестеров и в чем их смысл
      • Какие есть виды пентеста
      • Что входит в пентест
      • Какие есть области знаний в веб-пентесте
      • Главные ошибки новичков в ИБ
    • 😰Уязвимости
      • Об атаке Pastejaking
      • Об уязвимости KRACK
      • Об уязвимости Regex DoS
      • Об атаке MITM
      • Что такое уязвимость нулевого дня
      • Атака на протокол STP
      • Защита протокола STP
      • Clickjacking
      • База при атаке на Wi-Fi
      • Атаки по сторонним каналам
      • DNS ребайндинг
    • ⚙️Инструменты
      • Лучшие сканеры открытых портов и инструменты проверки портов
      • Что такое OWASP ZAP и как он помогает защитить приложения?
      • О фреймворке WiFi Exploitation Framework (WEF)
      • WeBaCoo — поддерживаем доступ к взломанному веб-серверу
      • Socialscan — проверяем использование электронной почты и имен пользователей в соцсетях
      • Обзор инструментов Red Team
      • 11 инструментов для сканирования уязвимостей
      • Подборка инструментов для автоматизации атак на JWT
      • О Bulk_Extractor
      • О Unicornscan
      • О Maryam
      • О Picocrypt, утилите для шифрования данных
      • Анализируем трафик с ZUI (Zed User Interface)
      • Об инструменте SkipFish
      • Как получить уведомления на почту о входе по SSH
      • О сканере OpenSCAP
      • О Censys — инструменте для поиска уязвимых поддоменов
      • О Scanless — инструменте для анонимного сканирования открытых портов
      • О SearchSploit — инструменте для поиска эксплойтов
      • Выбираем менеджер паролей
      • О Maltego
      • Устанавливаем и используем Snyk CLI в Windows
      • Проверяем безопасность Docker-образов с помощью Trivy
      • Об инструменте SpiderFoot
      • Сканируем сети с помощью скриптов Bash
      • О фреймворке Volatility на Windows
      • Определяем тип WAF с помощью WafW00f
      • Об инструменте ReNgine
      • О Foremost — инструменте для восстановления данных
      • Chisel — инструмент для проброса портов
      • O Yersinia
      • Об Acunetix
      • O Netcat
      • O Samba
      • O John the Ripper
      • О Common User Passwords Profiler (CUPP)
      • О RainbowCrack
      • Shodan
      • MobSF
      • Netsparker
      • Fortify
      • Veracode
      • Rapid7 InsightVM
      • Aircrack-ng
  • 🛠️ИНСТРУМЕНТЫ
    • ⌨️Беспроводные атаки
      • Aircrack-Ng
    • 🔑Атаки на пароли
      • Crunch
      • John
      • CUPP
      • Hashcat
      • Hydra
    • 👁️Сбор Информации
      • Masscan
      • Dnsenum
      • Parsero
      • Nmap
  • 👨‍💻Пентест
    • Методология
    • 🖥️Аппаратный/Физический доступ
      • Физические атаки
      • Побег из КИОСКа
  • 👾MITRE
    • 🗺️Тактики
      • 🏢Предприятия
        • Разведка
      • 📱Мобильные устройства
      • 🏭ICS
    • 💀CTI
      • ☠️Группы
        • admin@338
        • Ajax Security Team
        • ALLANITE
        • Andariel
  • 📟Справочник по безопасной разработке
    • 👨‍🔬CLIENT SIDE
      • Cross-Site Scripting [XSS]
      • Cross-Site Request Forgery [CSRF]
      • Clickjacking
      • Open Redirects
    • 🖥️SERVER SIDE
      • SQL Injections [SQLi]
      • XML External Entity Injection [XXE]
      • OS Command Injection [Command Execution]
      • File Upload
      • Server-Side Request Forgery [SSRF]
      • Host Header Injection
      • Аутентификация
      • Directory Traversal
      • Template Injection [SSTI]
    • API
  • 🐝OWASP
    • Cross Site Scripting (XSS)
Powered by GitBook
On this page
  • Что такое Fortify
  • Основные компоненты
  • Возможности Fortify
  • Недостатки Fortify
  • Где применяют Fortify
  1. Крупицы знаний
  2. Инструменты

Fortify

Статья об инструменте, который позволяет контролировать безопасность приложения на всех этапах цикла разработки.

Что такое Fortify

Инструмент кибербезопасности, который обеспечивает безопасность приложений на каждом этапе их жизненного цикла, от разработки до развертывания и обслуживания. У Fortify высокая степень интеграции с процессами разработки ПО. Это позволяет разработчикам и аналитикам безопасности совместно обнаруживать и устранять уязвимости.

Основные компоненты

  1. Fortify Static Code Analyzer (SCA) — инструмент статического анализа кода, который обнаруживает уязвимости в исходном коде еще до выполнения программы.

  2. Fortify WebInspect — динамический анализатор веб-приложений для выполнения автоматизированного тестирования безопасности.

  3. Fortify Software Security Center — веб-интерфейс управления, который помогает приоритизировать и следить за уязвимостями на протяжении всего SDLC.

  4. Fortify on Demand — облачная услуга, которая предлагает тестирование безопасности и аудиты на основе подписки (не для русских).

Возможности Fortify

  • Обнаружение широкого спектра уязвимостей в исходном коде.

  • Возможность интеграции в IDE, системы сборки и CI/CD пайплайны (непрерывной интеграции и непрерывного развертывания).

  • Автоматизированные и встроенные инструменты для обеспечения безопасности, которые поддерживают разработчиков в раннем выявлении проблем безопасности.

  • Отчеты и панели управления для просмотра статусов уязвимостей и слежения за улучшениями безопасности.

Недостатки Fortify

  • Хардовые настройки и обучение: потребуются ресурсы, чтобы ввести инструмент в компанию

  • Дорого

  • Иногда большое количество ложных срабатываний, что требует дополнительного времени на анализ и исправление отчетов.

Где применяют Fortify

  • Предприятие — для анализа своих многоязычных веб-приложений на различных этапах разработки, обнаруживая уязвимости как в новом, так и в существующем коде.

  • Разработчики — интегрируют Fortify SCA в свои ежедневные процессы разработки, чтобы обеспечивать безопасность кода до его отправки в производственную среду.

  • Команды безопасности — для проведения регулярных аудитов безопасности с целью соответствия нормативным требованиям и стандартам.

Last updated 1 year ago

✏️
⚙️