由叡揚資訊代理的Fortify Source Code Analyzer(SCA),屬於靜態程式碼安全性檢測工具,掃描完成之後,系統會指出問題程式碼,並提供修改建議。SCA目前提供本機端的掃描與資訊呈現,搭配Fortify的360 Server即有Web管理機制。
可與Java和.NET開發環境整合
SCA支援17種程式語言,例如Java、ASP.NET、VB.NET、C#、C/C++、PL/SQL、T-SQL、ColdFusion甚至COBOL等,它是目前同質性產品中支援最多開發環境與程式語言的。掃描機制除了使用Fortify開發的Audit WorkBench工具之外,也可外掛在Visual Studio 2003/2005/2008、Eclipse及JBuilder 2008開發工具中。
另一種方式是設定排程,例如規定開發團隊每周五下班前,上傳程式到伺服器,再透過排程設定系統自動執行掃描,周一上班即可檢視報表。
由SCA檢測的結果頁面,會總結掃描的檔案數、程式碼行數、找到的弱點數及花費時間等。弱點將依嚴重程度分為高風險、警告及資訊類等3種等級並以紅色、橘色、黃色呈現。
除了預設3類群組,企業也可自訂,例如定義弱點的篩選條件,並將相關的弱點指定到新增的群組中,如此,管理者只要檢視這個資料夾,就可以掌握應用程式是否存在不該有的弱點。而且這個政策可以套用到所有專案。
跨檔案、語言及階層的分析方式
現今的Web應用程式大部分都是多層式的,有前端的展示層、中間邏輯層及後端資料庫等,因此可能使用多種語言及框架(Framework)。Fortify有一套「X-Tier」分析技術,在掃描應用程式時,跨語言、檔案、階層、框架的差異執行。
為了達到跨語言的掃描,SCA會先剖析程式,轉化成Fortify看得懂的中繼檔,然後再利用Data Flow、Semantic、Control Flow、Configuration、Structural等分析引擎,串連程式邏輯,即可彙整出程式的運作邏輯。
針對檢測出的弱點,Fortify提供審查機制,由稽核人員複查各項弱點的等級,例如確認是否屬於非重要性問題、可靠性問題、不明或可疑等,然後指派人員處理。
全中文化的弱點解釋及修復建議
開發者收到修正弱點的訊息後,可點選「Diagram」功能,SCA即以UML的循序圖展現程式之間的資料流,協助開發人員透過圖形化的解說,分析、追蹤並確認問題發生的原因。此外,Forify可以匯出專屬的FPR檔,也提供開發人員修改的建議。
Fortify除了直接跳至安全弱點發生的程式碼位置,並在下方的窗格,以中文內容詳細解釋問題發生的成因及修復方案,並附上各種程式語言的範例程式,提供開發者參考。
此外,SCA的驗證規則不只是確認程式碼的安全性,也包含程式碼品質的檢查,例如無用程式碼、錯誤處理、記憶體漏失及緩衝區溢位等,因為不好的錯誤處理方式,或者不當資訊揭露,也可能導致安全性問題。所以在SCA內,目前總共有超過400條的規則,企業也可自訂專屬的規則。而原廠的掃描規則更新周期,大約一季至少一次的更新一次。
測試與上線階段也有對應方案
Fortify在弱點偵測方面的產品還包括測試階段的PTA(Program-Trace Analyzer)、負責Web應用程式上線後的監控與防禦的RTA(Real-Time analyzer),還有彙集各階段資料,提供數位分析儀表板的360 Server。
PTA則是結合功能測試及安全性測試,透過使用者錄製的操作測試腳本,分析是否有安全漏洞,若搭配程式碼,同樣可以指出問題程式。而RTA則是入侵偵測防禦系統,它透過應用程式API讀取的內容,判斷字串是否具攻擊性,並做即時的攔阻及記錄,幫助事後的分析。
特色1:圖形化展示問題流程
系統將出現漏洞的問題流程,以UML的循序圖呈現,幫助使用者了解弱點的成因。
特色2:提供修正建議
修正建議包括中文的說明,以及各種語言的範例程式。
特色3:審核機制
安全弱點透過稽核功能,可由專責人員審核並指派開發者處理。
特色4:可客製的報表
程式掃描完畢之後,可產出弱點統計相關資訊,另存為PDF、RTF或XML格式的報表,而且內容可依需求調整或客製。
產品評析
優點:
支援多達17種程式語言
解析系統邏輯,可以跨檔案、語言及階層
具有循序圖,能提供圖形化的資料與程式流程分析
缺點:
需結合360 Server才有Web化的介面
與版本控管系統結合,需搭配開放源碼工具
產品資訊
Fortify Source Code Analyzer 5.6
● 建議售價:100~500萬元
● 代理:叡揚資訊
● 電話:(02)2586-7890
● 網址:www.fortify.com (www.gss.com.tw)
● 整合的開發工具
Visual Studio 、Eclipse 、IBM WSAD/RAD、JBuilder 2008
● 支援的程式語言
ASP.NET、VB.NET、C#、C/C++、Java、JSP、Cold Fusion、ASP、VB6、PHP、COBOL、JavaScript/Ajax、VBScript、PL/SQL、T-SQL、XML、HTML
● 安裝的系統平臺
Windows、Solaris、Red Hat Linux、Mac OS X、HP-UX、IBM AIX
● 安全性規則
具備線上更新機制、可客製安全性規則
● 操作介面
與360 Server整合可提供Web管理介面,包含身份認證與權限管理機制。此外提供Audit WorkBench掃描工具,且可與IDE開發環境整合。檢查出的弱點態依嚴重等級分類,並提供問題解釋、修正建議及報表,也有審查機制。
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
【相關報導請參考「靜態程式碼安全性檢測採購大特輯」】
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-25
2024-11-15