Fortify應(yīng)用安全整體解決方案_第1頁
Fortify應(yīng)用安全整體解決方案_第2頁
Fortify應(yīng)用安全整體解決方案_第3頁
Fortify應(yīng)用安全整體解決方案_第4頁
Fortify應(yīng)用安全整體解決方案_第5頁
已閱讀5頁,還剩20頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、HPE Fortify 應(yīng)用安全整體解決方案技術(shù)創(chuàng)新,變革未來網(wǎng)絡(luò)主機(jī)Security MeasuresSwitch/Router securityFirewallsNIPS/NIDSVPNNet-ForensicsAnti-Virus/Anti-SpamDLPHost FWHost IPS/IDSVuln. Assessment tools軟件應(yīng)用是黑客的主要目標(biāo)知識(shí)產(chǎn)權(quán)用戶資料業(yè)務(wù)流程商業(yè)機(jī)密應(yīng)用84%的攻擊入侵發(fā)生在應(yīng)用層為什么用HPE Fortify:高瞻遠(yuǎn)矚,解決未發(fā)生的安全問題;高效,快速徹底地解決軟件問題豐富的應(yīng)用,軟件形式,開發(fā)模式,開發(fā)語言; 想豐富軟件測試的能力與手段表“帥

2、”,敢想敢干,敢在軟件開發(fā)過程中找安全;率先引入軟件安全保證體系高:富:帥 :修復(fù)漏洞的成本產(chǎn)品上線系統(tǒng)測試單元測試編碼需求分析30X15X10X5X2X成本在產(chǎn)品上線階段修復(fù)漏洞的成本多花費(fèi)超過30倍運(yùn)行時(shí)刻分析在運(yùn)行系統(tǒng)的實(shí)時(shí)保護(hù)黑客漏洞管理(靜態(tài), 動(dòng)態(tài), 運(yùn)行時(shí)刻)集成構(gòu)建靜態(tài)分析源代碼動(dòng)態(tài)分析應(yīng)用程序運(yùn)行在QA/生產(chǎn)環(huán)境VulnerabilityDatabase安全& 開發(fā)人員應(yīng)用安全修復(fù)相關(guān)的目標(biāo)漏洞應(yīng)用生命周期所有相關(guān)人員風(fēng)險(xiǎn)降低的衡量標(biāo)準(zhǔn)Threat Driven Central Rules ManagementNormalization(Scoring, Guidance)C

3、orrelation(Static, Dynamic, Runtime)HPE Fortify 應(yīng)用安全整體解決方案靜態(tài)分析 發(fā)現(xiàn)和修復(fù)源代碼的安全隱患HPE Fortify Static Code Analyzer (SCA)特征:靜態(tài)應(yīng)用程序安全性測試,自動(dòng)化識(shí)別在開發(fā)期間應(yīng)用程序源代碼的安全漏洞查明源代碼漏洞的根本原因,提供詳盡的修復(fù)指導(dǎo)最廣泛的安全漏洞規(guī)則,多維度分析源代碼安全問題支持21種語言,500 +漏洞類別ABAP、ASP.NET、C,C+、C#、Classic ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJA

4、X、JSP、Objective C、PL/SQL、PHPE、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTMLFortify SCA 產(chǎn)品組件及功能Source Code Analysis Engine(源代碼分析引擎) 數(shù)據(jù)流分析引擎-跟蹤,記錄并分析程序中的數(shù)據(jù)傳遞過程的安全問題 語義分析引擎-分析程序中不安全的函數(shù),方法的使用的安全問題 結(jié)構(gòu)分析引擎-分析程序上下文環(huán)境,結(jié)構(gòu)中的安全問題 控制流分析引擎-分析程序特定時(shí)間,狀態(tài)下執(zhí)行操作指令的安全問題 配置分析引擎 -分析項(xiàng)目配置文件中的敏感信息和配置缺失的安全問題 特有的X-Tier跟蹤器-跨躍項(xiàng)目的上下

5、層次,貫穿程序來綜合分析問題Secure Coding Rulepacks (安全編碼規(guī)則包) Audit Workbench(審查工作臺(tái))Custom Rule Editor & Custom Rule Wizard(規(guī)則自定義編輯器和向?qū)? Developer Desktop (IDE 插件)Fortify SCA 工作原理Audit WorkbenchAnalysis EngineSemanticGlobal Data FlowControl FlowConfigurationStructuralHPE Software Security Center ServerRules Build

6、erFront-EndJavaC/C+.NETTSQLJSPPLSQLXMLNSTPre-PackagedCustom3rd party IDE Plug-In.fvdl/.fprFortify 漏洞審計(jì)-Audit Workbench分級報(bào)告漏洞的信息項(xiàng)目的源代碼漏洞推薦修復(fù)的方法漏洞產(chǎn)生的全路徑的跟蹤信息漏洞的詳細(xì)說明Audit Workbench-AuditAudit Workbench-ReportHPE Fortify源代碼安全測試工具的優(yōu)勢無論全球范圍內(nèi)還是國內(nèi)市場,HPE Fortify SCA都擁有最大的市場份額和最高的用戶口碑,全球超過1000家用戶,尤其在銀行金融領(lǐng)域有最為

7、廣泛的應(yīng)用。依靠惠普全球領(lǐng)先的應(yīng)用安全研發(fā)實(shí)力和客戶服務(wù)經(jīng)驗(yàn),向客戶提供最專業(yè)的原廠服務(wù)。Fortify測試速度業(yè)界最快,唯一采用最先進(jìn)的多核編程技術(shù)開發(fā)的產(chǎn)品,掃描速度比同類其他產(chǎn)品快數(shù)倍。Fortify界面友好,安裝配置非常簡單,易操作,測試結(jié)果生成特有的FPR文件,無需數(shù)據(jù)庫支持Fortify完全支持掃描超大型項(xiàng)目,如百萬行級以上代碼的項(xiàng)目。同類其他產(chǎn)品可能無法啟動(dòng)。擁有目前業(yè)界最權(quán)威的代碼漏洞規(guī)則庫,能夠檢測出500多種問題,業(yè)界最多。結(jié)果最全面和準(zhǔn)確??梢灾С趾蚅DAP、BUG跟蹤系統(tǒng)、自動(dòng)化構(gòu)建工具、版本管理等工具的集成??梢院蚖eb應(yīng)用動(dòng)態(tài)安全測試工具做黑白盒關(guān)聯(lián)分析。 支持的開

8、發(fā)語言最多,支持的操作系統(tǒng)最多。動(dòng)態(tài)分析發(fā)現(xiàn)在運(yùn)行應(yīng)用程序的安全問題HPE WebInspect特征:領(lǐng)先的自動(dòng)化應(yīng)用安全測試解決方案對Web應(yīng)用、WebServices進(jìn)行安全檢測對Web應(yīng)用技術(shù)的廣泛支持 AJAX、JavaScript、Flash、Silverlight、Web Services等簡單易用的“指導(dǎo)精靈” ,花費(fèi)最少的時(shí)間在掃瞄設(shè)定自動(dòng)更新安全規(guī)則自動(dòng)產(chǎn)生缺陷報(bào)告和詳細(xì)修復(fù)建議新功能: HPE WebInspect 與WAF & TippingPoint整合防御PartnersF5 WAF ( OK ) Imperva (upcoming)新功能: HPE WebInspe

9、ct 與 F5 WAF 整合防御新功能: HPE WebInspect 與HPE功能測試產(chǎn)品(UFT)的集成Install HPE UFT. (prerequisite)Select “Workflows.”Select the UFT scripts.Scripts are played & locations are captured.Acquired locations are analyzed (crawled & audited)2013最新版V10.1的功能運(yùn)用功能測試錄制腳本進(jìn)行軟件安全風(fēng)險(xiǎn)測試管理、跟蹤和修復(fù)企業(yè)軟件風(fēng)險(xiǎn)HPE Fortify Software Security

10、 Center server幫助軟件開發(fā)的管理人員統(tǒng)計(jì)和分析軟件安全的風(fēng)險(xiǎn)、趨勢,跟蹤和定位軟件安全漏洞,提供足夠多的軟件安全質(zhì)量方面的真實(shí)的狀態(tài)信息以便于管理人員制定安全管理決策及編碼規(guī)則特征:集中管理化分優(yōu)先級標(biāo)記趨勢 協(xié)同工作平臺(tái)產(chǎn)生多種報(bào)表在線系統(tǒng)的檢測、預(yù)防和應(yīng)用程序安全事件日志HPE Fortify RuntimeRuntime Application Protection提供對WEB應(yīng)用系統(tǒng)運(yùn)行時(shí)刻的防護(hù)和監(jiān)控功能 Runtime Application Logging向SIEM管理 平臺(tái)記錄應(yīng)用安全信息和用戶活動(dòng)事件的日志實(shí)現(xiàn)與ArcSight ESM集成Security Scope 實(shí)現(xiàn)Fortify SCA靜態(tài)安全測試結(jié)果與WebInspect動(dòng)態(tài)安全測試結(jié)果的關(guān)聯(lián)分析靜態(tài),動(dòng)態(tài)和運(yùn)行時(shí)刻分析相結(jié)合的安全測試HPE Fortify Runtime混合分析靜動(dòng)態(tài)安全測試關(guān)聯(lián)分析 通過HPE WebInspect獲得動(dòng)態(tài)應(yīng)用安全測試的結(jié)果通過HPE Fortify SC

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論