Fortify應(yīng)用安全整體解決方案

1、HPE Fortify 應(yīng)用安全整體解決方案技術(shù)創(chuàng)新，變革未來(lái)網(wǎng)絡(luò)主機(jī)Security MeasuresSwitch/Router securityFirewallsNIPS/NIDSVPNNet-ForensicsAnti-Virus/Anti-SpamDLPHost FWHost IPS/IDSVuln. Assessment tools軟件應(yīng)用是黑客的主要目標(biāo)知識(shí)產(chǎn)權(quán)用戶資料業(yè)務(wù)流程商業(yè)機(jī)密應(yīng)用84%的攻擊入侵發(fā)生在應(yīng)用層為什么用HPE Fortify：高瞻遠(yuǎn)矚，解決未發(fā)生的安全問(wèn)題；高效，快速?gòu)氐椎亟鉀Q軟件問(wèn)題豐富的應(yīng)用，軟件形式，開(kāi)發(fā)模式，開(kāi)發(fā)語(yǔ)言； 想豐富軟件測(cè)試的能力與手段表“帥

2、”，敢想敢干，敢在軟件開(kāi)發(fā)過(guò)程中找安全；率先引入軟件安全保證體系高：富：帥 ：修復(fù)漏洞的成本產(chǎn)品上線系統(tǒng)測(cè)試單元測(cè)試編碼需求分析30X15X10X5X2X成本在產(chǎn)品上線階段修復(fù)漏洞的成本多花費(fèi)超過(guò)30倍運(yùn)行時(shí)刻分析在運(yùn)行系統(tǒng)的實(shí)時(shí)保護(hù)黑客漏洞管理(靜態(tài), 動(dòng)態(tài), 運(yùn)行時(shí)刻)集成構(gòu)建靜態(tài)分析源代碼動(dòng)態(tài)分析應(yīng)用程序運(yùn)行在QA/生產(chǎn)環(huán)境VulnerabilityDatabase安全& 開(kāi)發(fā)人員應(yīng)用安全修復(fù)相關(guān)的目標(biāo)漏洞應(yīng)用生命周期所有相關(guān)人員風(fēng)險(xiǎn)降低的衡量標(biāo)準(zhǔn)Threat Driven Central Rules ManagementNormalization(Scoring, Guidance)C

3、orrelation(Static, Dynamic, Runtime)HPE Fortify 應(yīng)用安全整體解決方案靜態(tài)分析 發(fā)現(xiàn)和修復(fù)源代碼的安全隱患HPE Fortify Static Code Analyzer (SCA)特征:靜態(tài)應(yīng)用程序安全性測(cè)試，自動(dòng)化識(shí)別在開(kāi)發(fā)期間應(yīng)用程序源代碼的安全漏洞查明源代碼漏洞的根本原因，提供詳盡的修復(fù)指導(dǎo)最廣泛的安全漏洞規(guī)則，多維度分析源代碼安全問(wèn)題支持21種語(yǔ)言,500 +漏洞類(lèi)別ABAP、ASP.NET、C,C+、C#、Classic ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJA

4、X、JSP、Objective C、PL/SQL、PHPE、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTMLFortify SCA 產(chǎn)品組件及功能Source Code Analysis Engine（源代碼分析引擎） 數(shù)據(jù)流分析引擎-跟蹤,記錄并分析程序中的數(shù)據(jù)傳遞過(guò)程的安全問(wèn)題 語(yǔ)義分析引擎-分析程序中不安全的函數(shù),方法的使用的安全問(wèn)題 結(jié)構(gòu)分析引擎-分析程序上下文環(huán)境,結(jié)構(gòu)中的安全問(wèn)題 控制流分析引擎-分析程序特定時(shí)間,狀態(tài)下執(zhí)行操作指令的安全問(wèn)題 配置分析引擎 -分析項(xiàng)目配置文件中的敏感信息和配置缺失的安全問(wèn)題 特有的X-Tier跟蹤器-跨躍項(xiàng)目的上下

5、層次,貫穿程序來(lái)綜合分析問(wèn)題Secure Coding Rulepacks （安全編碼規(guī)則包） Audit Workbench（審查工作臺(tái)）Custom Rule Editor & Custom Rule Wizard(規(guī)則自定義編輯器和向?qū)? Developer Desktop (IDE 插件）Fortify SCA 工作原理Audit WorkbenchAnalysis EngineSemanticGlobal Data FlowControl FlowConfigurationStructuralHPE Software Security Center ServerRules Build

6、erFront-EndJavaC/C+.NETTSQLJSPPLSQLXMLNSTPre-PackagedCustom3rd party IDE Plug-In.fvdl/.fprFortify 漏洞審計(jì)-Audit Workbench分級(jí)報(bào)告漏洞的信息項(xiàng)目的源代碼漏洞推薦修復(fù)的方法漏洞產(chǎn)生的全路徑的跟蹤信息漏洞的詳細(xì)說(shuō)明Audit Workbench-AuditAudit Workbench-ReportHPE Fortify源代碼安全測(cè)試工具的優(yōu)勢(shì)無(wú)論全球范圍內(nèi)還是國(guó)內(nèi)市場(chǎng)，HPE Fortify SCA都擁有最大的市場(chǎng)份額和最高的用戶口碑，全球超過(guò)1000家用戶，尤其在銀行金融領(lǐng)域有最為

7、廣泛的應(yīng)用。依靠惠普全球領(lǐng)先的應(yīng)用安全研發(fā)實(shí)力和客戶服務(wù)經(jīng)驗(yàn)，向客戶提供最專(zhuān)業(yè)的原廠服務(wù)。Fortify測(cè)試速度業(yè)界最快，唯一采用最先進(jìn)的多核編程技術(shù)開(kāi)發(fā)的產(chǎn)品，掃描速度比同類(lèi)其他產(chǎn)品快數(shù)倍。Fortify界面友好，安裝配置非常簡(jiǎn)單，易操作，測(cè)試結(jié)果生成特有的FPR文件，無(wú)需數(shù)據(jù)庫(kù)支持Fortify完全支持掃描超大型項(xiàng)目，如百萬(wàn)行級(jí)以上代碼的項(xiàng)目。同類(lèi)其他產(chǎn)品可能無(wú)法啟動(dòng)。擁有目前業(yè)界最權(quán)威的代碼漏洞規(guī)則庫(kù)，能夠檢測(cè)出500多種問(wèn)題，業(yè)界最多。結(jié)果最全面和準(zhǔn)確?？梢灾С趾蚅DAP、BUG跟蹤系統(tǒng)、自動(dòng)化構(gòu)建工具、版本管理等工具的集成?？梢院蚖eb應(yīng)用動(dòng)態(tài)安全測(cè)試工具做黑白盒關(guān)聯(lián)分析。 支持的開(kāi)

8、發(fā)語(yǔ)言最多，支持的操作系統(tǒng)最多。動(dòng)態(tài)分析發(fā)現(xiàn)在運(yùn)行應(yīng)用程序的安全問(wèn)題HPE WebInspect特征:領(lǐng)先的自動(dòng)化應(yīng)用安全測(cè)試解決方案對(duì)Web應(yīng)用、WebServices進(jìn)行安全檢測(cè)對(duì)Web應(yīng)用技術(shù)的廣泛支持 AJAX、JavaScript、Flash、Silverlight、Web Services等簡(jiǎn)單易用的“指導(dǎo)精靈” ,花費(fèi)最少的時(shí)間在掃瞄設(shè)定自動(dòng)更新安全規(guī)則自動(dòng)產(chǎn)生缺陷報(bào)告和詳細(xì)修復(fù)建議新功能: HPE WebInspect 與WAF & TippingPoint整合防御PartnersF5 WAF ( OK ) Imperva (upcoming)新功能: HPE WebInspe

9、ct 與 F5 WAF 整合防御新功能: HPE WebInspect 與HPE功能測(cè)試產(chǎn)品(UFT)的集成Install HPE UFT. (prerequisite)Select “Workflows.”Select the UFT scripts.Scripts are played & locations are captured.Acquired locations are analyzed (crawled & audited)2013最新版V10.1的功能運(yùn)用功能測(cè)試錄制腳本進(jìn)行軟件安全風(fēng)險(xiǎn)測(cè)試管理、跟蹤和修復(fù)企業(yè)軟件風(fēng)險(xiǎn)HPE Fortify Software Security

10、 Center server幫助軟件開(kāi)發(fā)的管理人員統(tǒng)計(jì)和分析軟件安全的風(fēng)險(xiǎn)、趨勢(shì)，跟蹤和定位軟件安全漏洞，提供足夠多的軟件安全質(zhì)量方面的真實(shí)的狀態(tài)信息以便于管理人員制定安全管理決策及編碼規(guī)則特征:集中管理化分優(yōu)先級(jí)標(biāo)記趨勢(shì) 協(xié)同工作平臺(tái)產(chǎn)生多種報(bào)表在線系統(tǒng)的檢測(cè)、預(yù)防和應(yīng)用程序安全事件日志HPE Fortify RuntimeRuntime Application Protection提供對(duì)WEB應(yīng)用系統(tǒng)運(yùn)行時(shí)刻的防護(hù)和監(jiān)控功能 Runtime Application Logging向SIEM管理 平臺(tái)記錄應(yīng)用安全信息和用戶活動(dòng)事件的日志實(shí)現(xiàn)與ArcSight ESM集成Security Scope 實(shí)現(xiàn)Fortify SCA靜態(tài)安全測(cè)試結(jié)果與WebInspect動(dòng)態(tài)安全測(cè)試結(jié)果的關(guān)聯(lián)分析靜態(tài)，動(dòng)態(tài)和運(yùn)行時(shí)刻分析相結(jié)合的安全測(cè)試HPE Fortify Runtime混合分析靜動(dòng)態(tài)安全測(cè)試關(guān)聯(lián)分析 通過(guò)HPE WebInspect獲得動(dòng)態(tài)應(yīng)用安全測(cè)試的結(jié)果通過(guò)HPE Fortify SC