제품설명
CyberRes Static Code Analyzer(SCA)는 소스 코드의 보안 취약성의 근본 원인을 정확히 찾아내고, 가장 심각한 문제의 우선 순위를 지정하고, 해결 방법에 대한 자세한 지침을 제공하여 개발자가 중앙 집중식 소프트웨어 보안 관리를 통해 더 짧은 시간에 문제를 해결할 수 있도록 합니다.
SAST(Static Application Security Testing)는 개발 초기 단계에서 수리 비용이 가장 적게 드는 보안 취약점을 식별합니다. 개발 중 코드에 유입된 문제에 대해 개발자에게 즉각적인 피드백을 제공함으로써 애플리케이션의 보안 위험을 줄입니다. 또한 정적 응용 프로그램 보안 테스트를 통해 개발자가 작업하는 동안 보안에 대해 교육할 수 있으므로 보다 안전한 소프트웨어를 만들 수 있습니다.
SCA(Static Code Analyzer)는 여러 알고리즘과 보안 코딩 규칙에 대한 광범위한 지식 기반을 사용하여 보안 코드를 분석합니다.
공격 가능한 취약성에 대한 응용 프로그램의 소스 코드입니다. 이 기술은 실행 및 데이터가 따라갈 수 있는 모든 실행 가능한 경로를 분석하여 취약성을 식별하고 교정합니다.
Fortify Static Code Analyzer
코드를 처리하기 위해, Fortify SCA는 소스 코드 파일을 읽고 보안 분석을 위해 강화된 중간 구조로 변환하는 컴파일러처럼 동작합니다.
이 중간 형식은 보안 취약성을 찾는 데 사용됩니다. 복수의 전문 분석기로 구성된 분석엔진은 보안 코딩 규칙을 활용해 보안 코딩 관행 위반에 대한 코드베이스를 분석합니다. 또한 Fortify SCA는 정적 분석 기능을 확장 및 확장하고 사용자 정의 규칙을 포함할 수 있는 규칙 작성기를 제공합니다.
이 중간 형식은 보안 취약성을 찾는 데 사용됩니다. 복수의 전문 분석기로 구성된 분석엔진은 보안 코딩 규칙을 활용해 보안 코딩 관행 위반에 대한 코드베이스를 분석합니다. 또한 Fortify SCA는 정적 분석 기능을 확장 및 확장하고 사용자 정의 규칙을 포함할 수 있는 규칙 작성기를 제공합니다.
결과는 사용자와 과제에 따라 다양한 방식으로 보여집니다.
주요기능
특장점
통합된 SAST로 안전하게 코딩
- 개발자의 보안 “맞춤법 검사기”가 포함된 Eclipse 또는 Visual Studio IDE의 Security Assistant를 사용해 실시간으로 보안 취약성을 찾아 수정합니다.
- 게임 방식의 교육을 통해 개발자는 보안 코드를 작성할 수 있습니다
개발자가 사용하는 언어지원
- 업계 최고의 SSR(Software Security Research) 팀이 담당하는 애자일 업데이트를 통해 27개의 주요 언어 및 프레임워크를 탄탄하게 지원합니다.
- OWASP 상위 10, CWE/SANS 상위 25, DISA STIG 및 PCI DSS와 같은 표준을 준수할 수 있는 SAST의 810가지 취약성 범주를 비롯한 광범위한 취약성 범위를 다룰 수 있습니다.
빠르고 자동화된 스캔 시작
- Fortify 플랫폼 또는 IDE 및 CI/CD 파이프라인을 통해 로컬에서 원활하게 스캔을 시작합니다.
- 스캔 결과를 중앙에 보관하는 관리 리포지토리로 보안 소프트웨어를 보다 빠르게 구축하고 귀중한 통찰력을 확보합니다.
- 조직은 소프트웨어 보안 센터(SSC)를 통해 애플리케이션 보안 프로그램의 모든 측면을 자동화할 수 있습니다.
DevOps 속도 개선
- 개발자별 보기를 위해 필터를 생성하고 템플릿을 발행합니다.
- Audit Assistant는 머신 러닝 지원 감사를 사용하여 오탐지율을 최대 90%까지 낮춤으로써 수동 감사 시간을 줄여줍니다.
- Audit Workbench를 사용하면 다양한 분석과 자동화된 심사가 가능합니다.
- 데이터 흐름 관점에서 문제가 어떻게 관련되어 있는지를 보여주는 SmartView 필터를 사용하여 가장 효율적인 지점에서 문제를 해결합니다.
CI/CD내에서의 보안자동화
- Swagger 지원 RESTful API, GitHub 리포지토리, Bamboo용 플러그인, VSTS 및 Jenkins를 사용하여 CI/CD 파이프라인에서 보안을 자동화하고 오픈 소스 구성 요소 분석 도구와 통합합니다.
- 개발자는 스크립트, 플러그인 및 GUI 도구를 통해 Fortify SCA를 기존 개발 환경에 적용하여 쉽고 빠르게 작업을 실행할 수 있습니다.
AppSec 프로그램 확장
- Scan Central을 통해 정적 분석 팜을 확장하면 변화하는 CI/CD 파이프라인 요구 사항을 충족하도록 동적으로 규모를 조정할 수 있습니다.
- 유연한 배치를 통해 스캔합니다. Fortify SAST는 비즈니스 요구에 맞게 사내, 서비스형 또는 하이브리드 모드로 제공됩니다. AppSec 프로그램을 중앙에서 신속하게 시작하고 확장할 수 있습니다.