Fortify SCA là gì và cài đặt nó như thế nào?

Fortify Static Code Analyzer (SCA) phân tích mã nguồn và xác định nguyên nhân gốc rễ của các lỗ hổng bảo mật.

Quét Fortify ưu tiên các sự cố nghiêm trọng nhất và hướng dẫn cách các nhà phát triển nên khắc phục chúng.

Tăng cường phân tích mã tĩnh

Fortify Static Code Analyzer có nhiều bộ phân tích lỗ hổng khác nhau như Bộ đệm, Nội dung, Luồng điều khiển, Luồng dữ liệu, Ngữ nghĩa, Cấu hình và Cấu trúc. Mỗi máy phân tích này chấp nhận một loại quy tắc khác nhau được điều chỉnh để cung cấp thông tin cần thiết cho loại phân tích được thực hiện.

Fortify Static Code Analyzer có các thành phần sau;

• Tăng cường trình hướng dẫn quét. Nó là một công cụ cung cấp các tùy chọn để chạy tập lệnh sau hoặc trước khi phân tích.
• Bàn làm việc kiểm toán. Đây là một ứng dụng dựa trên GUI tổ chức và quản lý các kết quả được phân tích.
• Trình chỉnh sửa quy tắc tùy chỉnh. Nó là một công cụ cho phép các nhà phát triển tạo và chỉnh sửa các quy tắc tùy chỉnh để phân tích.
• Plugin cho IntelliJ và Android Studio. Plugin này cung cấp kết quả phân tích trong IDE.
• Plugin cho Eclipse. Công cụ này được tích hợp với Eclipse và hiển thị kết quả trong IDE.
• Cắm tre. Đây là plugin thu thập kết quả từ Công việc Tre để chạy phân tích.
• Trình cắm Jenkins. Plugin này thu thập kết quả phân tích từ Jenkins Job.

Các tính năng của Fortify SCA

#1. Hỗ trợ nhiều ngôn ngữ

Một số ngôn ngữ được hỗ trợ trên Fortify SCA là; ABAP/BSP, ActionScript, ASP (với VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (bao gồm cả Android ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL và XML.

#2. Tùy chọn triển khai linh hoạt

• Fortify On-Prem cho phép một tổ chức kiểm soát hoàn toàn tất cả các khía cạnh của Fortify SCA.
• Fortify On Request cho phép các nhà phát triển làm việc trong môi trường Phần mềm dưới dạng Dịch vụ.
• Fortify Hosted cho phép các nhà phát triển tận hưởng cả hai thế giới (Theo yêu cầu và Tại chỗ) thông qua một môi trường ảo biệt lập với toàn quyền kiểm soát dữ liệu.

#3. Tích hợp dễ dàng với các công cụ CI/CD

• Các nhà phát triển có thể dễ dàng tích hợp Fortify SCA với các IDE chính như Visual Studio và Eclipse.
• Các nhà phát triển có quyền kiểm soát các hành động khác nhau khi công cụ này tích hợp với các công cụ nguồn mở như Sonatype, WhiteSource, Snyk và BlackDuck.
• Bạn cũng có thể tích hợp Fortify SCA với các kho mã từ xa như Bitbucket và GitHub. Do đó, công cụ này có thể kiểm tra mã được đẩy tới các nền tảng như vậy để tìm lỗ hổng và gửi báo cáo.

#4. cảnh báo thời gian thực

Bạn không cần phải đợi cho đến khi viết mã xong mới thực hiện các bài kiểm tra của mình, vì Fortify SCA cung cấp các bản cập nhật theo thời gian thực khi bạn viết mã. Công cụ này có các bộ phân tích cấu hình và cấu hình được xây dựng để đạt được tốc độ và hiệu quả, đồng thời giúp bạn tạo ra các ứng dụng an toàn.

#5. Trợ lý kiểm toán được cung cấp bởi máy học

Quá trình kiểm tra hệ thống diễn ra nhanh chóng bằng cách sử dụng Trợ lý kiểm tra, sử dụng các thuật toán máy học. Trợ lý xác định tất cả các lỗ hổng và ưu tiên chúng dựa trên mức độ tin cậy. Do đó, các tổ chức có thể tiết kiệm chi phí kiểm toán khi công cụ tạo báo cáo.

#6. Uyển chuyển

Người dùng có thể chọn loại quét họ muốn tiến hành dựa trên nhu cầu của họ. Chẳng hạn, nếu bạn muốn quét chính xác và chi tiết, bạn có thể chọn tùy chọn quét toàn diện. Các nhà phát triển cũng có thể chọn tùy chọn quét nhanh nếu họ chỉ muốn phát hiện các mối đe dọa lớn.

Fortify SCA làm gì?

Fortify SCA có một số vai trò trong hệ sinh thái phát triển điển hình. Sau đây là một số vai trò;

Kiểm tra tĩnh giúp xây dựng mã tốt hơn

Kiểm tra bảo mật ứng dụng tĩnh (SAST) giúp xác định các lỗ hổng bảo mật trong giai đoạn phát triển ban đầu. May mắn thay, hầu hết các lỗ hổng bảo mật này đều không tốn kém để khắc phục.

Cách tiếp cận như vậy làm giảm rủi ro bảo mật trong các ứng dụng vì thử nghiệm cung cấp phản hồi ngay lập tức về các vấn đề được đưa vào mã trong quá trình phát triển.

Các nhà phát triển cũng tìm hiểu về bảo mật thông qua Kiểm tra bảo mật ứng dụng tĩnh và do đó họ có thể bắt đầu sản xuất phần mềm bảo mật.

Fortify SCA sử dụng cơ sở kiến ​​thức mở rộng về các quy tắc mã hóa an toàn và nhiều thuật toán để phân tích mã nguồn của ứng dụng phần mềm để tìm các lỗ hổng bảo mật. Cách tiếp cận này phân tích bất kỳ đường dẫn khả thi nào mà dữ liệu và quá trình thực thi có thể đi theo để xác định các lỗ hổng và đưa ra các biện pháp khắc phục.

Tìm vấn đề bảo mật sớm

Fortify SCA bắt chước một trình biên dịch. Sau khi quét Fortify, công cụ này sẽ đọc các tệp mã nguồn và chuyển đổi chúng thành cấu trúc trung gian được tăng cường để phân tích bảo mật.

Tất cả các lỗ hổng bảo mật đều dễ dàng xác định ở định dạng trung gian. Công cụ này đi kèm với một công cụ phân tích được tạo thành từ nhiều bộ phân tích chuyên dụng, sau đó sẽ sử dụng các quy tắc mã hóa an toàn để phân tích xem mã có vi phạm bất kỳ quy tắc thực hành mã hóa an toàn nào không.

Fortify SCA cũng đi kèm với trình tạo quy tắc nếu bạn muốn mở rộng khả năng phân tích tĩnh và bao gồm các quy tắc tùy chỉnh. Kết quả trong cài đặt như vậy có thể được xem ở các định dạng khác nhau dựa trên nhiệm vụ và đối tượng.

Trung tâm bảo mật phần mềm Fortify (SSC) giúp quản lý kết quả

Trung tâm bảo mật phần mềm Fortify (SSC) là một kho lưu trữ quản lý tập trung cung cấp khả năng hiển thị cho toàn bộ chương trình bảo mật ứng dụng của một tổ chức. Thông qua SSC, người dùng có thể kiểm tra, xem xét, ưu tiên và quản lý các nỗ lực khắc phục khi các mối đe dọa bảo mật được xác định.

Fortify SSC cung cấp phạm vi và bức tranh chính xác về tình hình bảo mật ứng dụng trong một tổ chức. SSC nằm trong một máy chủ trung tâm nhưng nhận kết quả từ các hoạt động kiểm tra bảo mật ứng dụng khác nhau, từ phân tích thời gian thực, động đến tĩnh.

Fortify SCA có thể thực hiện loại phân tích mã nào?

Quá trình quét củng cố mượn từ kiến ​​trúc của các vương quốc nguy hiểm khi thực hiện phân tích mã. Đây là những loại phân tích mà Fortify SCA thực hiện;

• Xác thực và biểu diễn đầu vào- các vấn đề liên quan đến Xác thực và biểu diễn đầu vào đến từ các mã hóa thay thế, biểu diễn số và siêu ký tự. Ví dụ về các sự cố như vậy là các cuộc tấn công “Tràn bộ đệm”, “Cross-Site Scripting” và “SQL Injection” phát sinh khi người dùng tin tưởng đầu vào.
• Lạm dụng API. Người gọi không tôn trọng việc kết thúc hợp đồng là loại lạm dụng API phổ biến nhất.
• Tính năng bảo mật. Bài kiểm tra này phân biệt giữa phần mềm bảo mật và phần mềm bảo mật. Phân tích sẽ tập trung vào các vấn đề xác thực, quản lý đặc quyền, kiểm soát truy cập, bảo mật và mã hóa.
• Thời gian và Nhà nước. Máy tính có thể chuyển đổi giữa các tác vụ khác nhau rất nhanh. Phân tích thời gian và trạng thái tìm kiếm các lỗi phát sinh từ các tương tác không mong muốn giữa các luồng, thông tin, quy trình và thời gian.
• lỗi. Fortify SCA sẽ kiểm tra xem lỗi có cung cấp quá nhiều thông tin cho những kẻ tấn công tiềm ẩn hay không.
• Chất lượng Mã. Chất lượng mã kém thường dẫn đến hành vi không thể đoán trước. Tuy nhiên, những kẻ tấn công có thể có cơ hội thao túng một ứng dụng vì lợi ích của chúng nếu chúng bắt gặp mã được viết kém.
• đóng gói. Đây là quá trình vạch ra những ranh giới mạnh mẽ. Một phân tích như vậy có thể có nghĩa là phân biệt giữa dữ liệu đã được xác thực và chưa được xác thực.

Tải xuống và cài đặt Fortify SCA

Trước khi bắt đầu quá trình cài đặt, bạn phải;

• Kiểm tra các yêu cầu hệ thống từ tài liệu chính thức
• Nhận tập tin giấy phép Fortify. Chọn gói của bạn từ trang tải xuống Microfocus. Tìm kiếm Fortify Static Code Analyzer, tạo tài khoản của bạn và nhận tệp giấy phép Fortify.

• Đảm bảo bạn đã cài đặt Visual Studio Code hoặc trình chỉnh sửa mã được hỗ trợ khác

Cách cài đặt trên Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

Lưu ý: là phiên bản phát hành phần mềm

• Nhấp vào Tiếp theo sau khi chấp nhận thỏa thuận cấp phép.
• Chọn nơi cài đặt Fortify Static Code Analyzer và nhấn Next.
• Chọn các thành phần bạn muốn cài đặt và nhấp vào Tiếp theo.
• Chỉ định người dùng nếu bạn đang cài đặt tiện ích mở rộng cho Visual Studio 2015 hoặc 2017.
• Nhấp vào Tiếp theo sau khi chỉ định đường dẫn cho tệp fortify.license.
• Chỉ định cài đặt cần thiết để cập nhật nội dung bảo mật. Bạn có thể sử dụng máy chủ cập nhật Fortify Rulepack bằng cách chỉ định URL là https://update.fortify.com. Bấm tiếp.
• Chỉ định nếu bạn muốn cài đặt mã nguồn mẫu. Bấm tiếp.
• Nhấn Next để cài đặt Fortify SCA và các ứng dụng.
• Nhấp vào Cập nhật nội dung bảo mật sau khi cài đặt rồi nhấp vào Kết thúc sau khi cài đặt xong.

Cách cài đặt trên Linux

Bạn có thể làm theo các bước tương tự để cài đặt Fortify SCA trên hệ thống dựa trên Linux. Tuy nhiên, ở bước đầu tiên, hãy chạy tệp này dưới dạng tệp trình cài đặt;

Fortify_SCA_and_Apps__linux_x64.run

Ngoài ra, bạn có thể cài đặt Fortify SCA bằng dấu nhắc dòng lệnh.

Mở terminal của bạn và chạy lệnh này

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Làm theo tất cả các lời nhắc theo chỉ dẫn trên dòng lệnh cho đến khi bạn hoàn tất quá trình cài đặt.

Cách chạy quét Fortify

Khi bạn đã hoàn tất cài đặt, đã đến lúc thiết lập công cụ để phân tích bảo mật.

• Đi tới Thư mục cài đặt và điều hướng đến thư mục bin bằng dấu nhắc lệnh.
• Nhập scapostinstall. Sau đó, bạn có thể nhập s để hiển thị cài đặt.
• Thiết lập ngôn ngữ bằng các lệnh này;

Gõ 2 để chọn Cài đặt.

Gõ 1 để chọn General.

Nhập 1 để chọn Ngôn ngữ

Đối với ngôn ngữ, hãy nhập English:en để đặt ngôn ngữ là tiếng Anh.

• Định cấu hình cập nhật Nội dung bảo mật. Gõ phím 2 để chọn Settings rồi gõ phím 2 lần nữa để chọn Fortify Update. Giờ đây, bạn có thể sử dụng máy chủ cập nhật Fortify Rulepack bằng cách chỉ định URL là https://update.fortify.com.
• Gõ sourceanalyzer để kiểm tra xem công cụ đã được cài đặt đầy đủ chưa.

Fortify SCA hiện sẽ chạy trong nền và kiểm tra tất cả mã của bạn để tìm các lỗ hổng bảo mật.

kết thúc

Các trường hợp hệ thống bị tấn công và dữ liệu bị xâm phạm đã trở nên tràn lan trong thời đại internet này. May mắn thay, giờ đây chúng ta có các công cụ như Fortify Static Code Analyzer có thể phát hiện các mối đe dọa bảo mật khi mã đang được viết, gửi cảnh báo và đưa ra khuyến nghị về cách xử lý các mối đe dọa đó. Fortify SCA có thể tăng năng suất và cắt giảm chi phí vận hành khi được sử dụng với các công cụ khác.

Bạn cũng có thể khám phá Phân tích Thành phần Phần mềm (SCA) để cải thiện tính bảo mật cho ứng dụng của mình.