Fortify应用安全整体解决方案

1、HPE Fortify 应用安全整体解决方案技术创新，变革未来网络主机Security MeasuresSwitch/Router securityFirewallsNIPS/NIDSVPNNet-ForensicsAnti-Virus/Anti-SpamDLPHost FWHost IPS/IDSVuln. Assessment tools软件应用是黑客的主要目标知识产权用户资料业务流程商业机密应用84%的攻击入侵发生在应用层为什么用HPE Fortify：高瞻远瞩，解决未发生的安全问题；高效，快速彻底地解决软件问题丰富的应用，软件形式，开发模式，开发语言； 想丰富软件测试的能力与手段表“帅

2、”，敢想敢干，敢在软件开发过程中找安全；率先引入软件安全保证体系高：富：帅 ：修复漏洞的成本产品上线系统测试单元测试编码需求分析30X15X10X5X2X成本在产品上线阶段修复漏洞的成本多花费超过30倍运行时刻分析在运行系统的实时保护黑客漏洞管理(静态, 动态, 运行时刻)集成构建静态分析源代码动态分析应用程序运行在QA/生产环境VulnerabilityDatabase安全& 开发人员应用安全修复相关的目标漏洞应用生命周期所有相关人员风险降低的衡量标准Threat Driven Central Rules ManagementNormalization(Scoring, Guidance)C

3、orrelation(Static, Dynamic, Runtime)HPE Fortify 应用安全整体解决方案静态分析 发现和修复源代码的安全隐患HPE Fortify Static Code Analyzer (SCA)特征:静态应用程序安全性测试，自动化识别在开发期间应用程序源代码的安全漏洞查明源代码漏洞的根本原因，提供详尽的修复指导最广泛的安全漏洞规则，多维度分析源代码安全问题支持21种语言,500 +漏洞类别ABAP、ASP.NET、C,C+、C#、Classic ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJA

4、X、JSP、Objective C、PL/SQL、PHPE、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTMLFortify SCA 产品组件及功能Source Code Analysis Engine（源代码分析引擎） 数据流分析引擎-跟踪,记录并分析程序中的数据传递过程的安全问题 语义分析引擎-分析程序中不安全的函数,方法的使用的安全问题 结构分析引擎-分析程序上下文环境,结构中的安全问题 控制流分析引擎-分析程序特定时间,状态下执行操作指令的安全问题 配置分析引擎 -分析项目配置文件中的敏感信息和配置缺失的安全问题 特有的X-Tier跟踪器-跨跃项目的上下

5、层次,贯穿程序来综合分析问题Secure Coding Rulepacks （安全编码规则包） Audit Workbench（审查工作台）Custom Rule Editor & Custom Rule Wizard(规则自定义编辑器和向导) Developer Desktop (IDE 插件）Fortify SCA 工作原理Audit WorkbenchAnalysis EngineSemanticGlobal Data FlowControl FlowConfigurationStructuralHPE Software Security Center ServerRules Build

6、erFront-EndJavaC/C+.NETTSQLJSPPLSQLXMLNSTPre-PackagedCustom3rd party IDE Plug-In.fvdl/.fprFortify 漏洞审计-Audit Workbench分级报告漏洞的信息项目的源代码漏洞推荐修复的方法漏洞产生的全路径的跟踪信息漏洞的详细说明Audit Workbench-AuditAudit Workbench-ReportHPE Fortify源代码安全测试工具的优势无论全球范围内还是国内市场，HPE Fortify SCA都拥有最大的市场份额和最高的用户口碑，全球超过1000家用户，尤其在银行金融领域有最为

7、广泛的应用。依靠惠普全球领先的应用安全研发实力和客户服务经验，向客户提供最专业的原厂服务。Fortify测试速度业界最快，唯一采用最先进的多核编程技术开发的产品，扫描速度比同类其他产品快数倍。Fortify界面友好，安装配置非常简单，易操作，测试结果生成特有的FPR文件，无需数据库支持Fortify完全支持扫描超大型项目，如百万行级以上代码的项目。同类其他产品可能无法启动。拥有目前业界最权威的代码漏洞规则库，能够检测出500多种问题，业界最多。结果最全面和准确。可以支持和LDAP、BUG跟踪系统、自动化构建工具、版本管理等工具的集成。可以和Web应用动态安全测试工具做黑白盒关联分析。 支持的开

8、发语言最多，支持的操作系统最多。动态分析发现在运行应用程序的安全问题HPE WebInspect特征:领先的自动化应用安全测试解决方案对Web应用、WebServices进行安全检测对Web应用技术的广泛支持 AJAX、JavaScript、Flash、Silverlight、Web Services等简单易用的“指导精灵” ,花费最少的时间在扫瞄设定自动更新安全规则自动产生缺陷报告和详细修复建议新功能: HPE WebInspect 与WAF & TippingPoint整合防御PartnersF5 WAF ( OK ) Imperva (upcoming)新功能: HPE WebInspe

9、ct 与 F5 WAF 整合防御新功能: HPE WebInspect 与HPE功能测试产品(UFT)的集成Install HPE UFT. (prerequisite)Select “Workflows.”Select the UFT scripts.Scripts are played & locations are captured.Acquired locations are analyzed (crawled & audited)2013最新版V10.1的功能运用功能测试录制脚本进行软件安全风险测试管理、跟踪和修复企业软件风险HPE Fortify Software Security

10、 Center server帮助软件开发的管理人员统计和分析软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供足够多的软件安全质量方面的真实的状态信息以便于管理人员制定安全管理决策及编码规则特征:集中管理化分优先级标记趋势 协同工作平台产生多种报表在线系统的检测、预防和应用程序安全事件日志HPE Fortify RuntimeRuntime Application Protection提供对WEB应用系统运行时刻的防护和监控功能 Runtime Application Logging向SIEM管理 平台记录应用安全信息和用户活动事件的日志实现与ArcSight ESM集成Security Scope 实现Fortify SCA静态安全测试结果与WebInspect动态安全测试结果的关联分析静态，动态和运行时刻分析相结合的安全测试HPE Fortify Runtime混合分析静动态安全测试关联分析 通过HPE WebInspect获得动态应用安全测试的结果通过HPE Fortify SC