Fortify应用安全整体解决方案.pptx

HPEFortify应用安全整体解决方案技术创新，变革未来

网络主机SecurityMeasuresSwitch/RoutersecurityFirewallsNIPS/NIDSVPNNet-ForensicsAnti-Virus/Anti-SpamDLPHostFWHostIPS/IDSVuln.Assessmenttools软件应用是黑客的主要目标知识产权用户资料业务流程商业机密应用

84%的攻击入侵发生在应用层

为什么用HPEFortify：高瞻远瞩，解决未发生的安全问题；高效，快速彻底地解决软件问题丰富的应用，软件形式，开发模式，开发语言；想丰富软件测试的能力与手段表“帅”，敢想敢干，敢在软件开发过程中找安全；率先引入软件安全保证体系高：富：帅：

修复漏洞的成本产品上线系统测试单元测试编码需求分析30X15X10X5X2X成本在产品上线阶段修复漏洞的成本多花费超过30倍

运行时刻分析在运行系统的实时保护黑客漏洞管理(静态,动态,运行时刻)集成构建静态分析源代码动态分析应用程序运行在QA/生产环境VulnerabilityDatabase安全开发人员应用安全修复相关的目标漏洞应用生命周期所有相关人员风险降低的衡量标准ThreatDrivenCentral

RulesManagementNormalization(Scoring,Guidance)Correlation(Static,Dynamic,Runtime)HPEFortify应用安全整体解决方案

静态分析–发现和修复源代码的安全隐患HPEFortifyStaticCodeAnalyzer(SCA)特征:静态应用程序安全性测试，自动化识别在开发期间应用程序源代码的安全漏洞查明源代码漏洞的根本原因，提供详尽的修复指导最广泛的安全漏洞规则，多维度分析源代码安全问题支持21种语言,500+漏洞类别ABAP、ASP.NET、C,C++、C#、ClassicASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJAX、JSP、ObjectiveC、PL/SQL、PHPE、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTML

FortifySCA产品组件及功能SourceCodeAnalysisEngine（源代码分析引擎）数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题结构分析引擎-----分析程序上下文环境,结构中的安全问题控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题配置分析引擎-----分析项目配置文件中的敏感信息和配置缺失的安全问题特有的X-Tier?跟踪器-----跨跃项目的上下层次,贯穿程序来综合分析问题SecureCodingRulepacks?（安全编码规则包）AuditWorkbench（审查工作台）CustomRuleEditorCustomRuleWizard(规则自定义编辑器和向导)DeveloperDesktop(IDE插件）

FortifySCA工作原理AuditWorkbenchAnalysisEngineSemanticGlobalDataFlowControlFlowConfigurationStructuralHPESoftwareSecurityCenterServerRulesBuilderFront-EndJavaC/C++.NETTSQLJSPPLSQLXMLNSTPre-PackagedCustom3rdpartyIDEPlug-In.fvdl/.fpr

Fortify漏洞审计---AuditWorkbench分级报告漏洞的信息项目的源代码漏洞推荐修复的方法漏洞产生的全路径的跟踪信息漏洞的详细说明

AuditWorkbench---Audit

AuditWorkbench---Report

HPEFortify源代码安全测试工具的优势无论全球范围内还是国内市场，HPEFortifySCA都拥有最大的市场份额和最高的用户口碑，全球超过1000家用户，尤其在银行金融领域有最为广泛的应用