Fortify SCA 優勢

1、 掃描快又準

? 在開發早期就捕獲了大部分代碼相關性問題；

? 識別并消除源代碼、二進制代碼或字節代碼中的漏洞；

? 支持 27 種編程語言中 815 種的漏洞類別，并跨越超過 100 萬個獨立的 API；

?在 OWASP 1.2b 基準測驗中，真實陽性率為，證明了高度的準確性。

2、CI/CD 管道中的安全自動化

? 識別和優先處理構成威脅的漏洞，快速降低風險；

? 與CI/CD 工具充分集成，包括 Jenkins, ALM Octane, Jira, Atlassian Bamboo, Azure DevOps, Eclipse 和 Microsoft Visual Studio 等；

? 實時審查掃描結果并獲得訪問建議，通過代碼行導航更快地發現漏洞和與審計開展協作。

3、節約開發時間和成本

? 嵌入 SDLC 后，開發時間和成本平均降低 25%，且早期修復漏洞成本比制作/發布后階段低 30 倍；

? 發現漏洞數是原來的 2 倍，誤報率降低 95%；（數據來源：《Micro Focus Fortify 2017 商業價值可持續交付》)

? 通過在開發人員工作時對他們進行靜態應用安全測試培訓，滿足安全編碼實踐要求。

Fortify ScanCentral DAST 新增功能

借助下一代動態應用程序安全測試功能，可以使用 ScanCentral 和現有的 Fortify Jenkins 及 Fortify Azure 插件在 CI/CD 流程中啟用、擴展和自動化 DAST，從而創建更的 AppSec 方法。ScanCentral DAST 新增功能如下：

使用功能性應用程序安全測試 (FAST)

FAST 以支持 CI/CD 的方式捕獲功能測試流量并將其發送到 ScanCentral DAST，進行有針對性的 DAST 掃描。與 IAST 不同，FAST 不受創建測試人員的想法限制。FAST 掃描應用程序，繼續查找功能測試未公開的所有內容。

簡化 API 掃描

在21.1.0版本中， 集成的ScanCentral DAST 可以簡化 API 掃描，使WebInspect 傳感器中的新工作流自動檢測身份驗證請求。

增加 Hacker Level Insights

Hacker Level Insights 是一個新框架，可對應用程序進行安全洞察。21.1.0版本中也包含了對 Javascript 客戶端框架的檢測。

配置數據保留策略

在應用程序或掃描級別中配置數據保留策略，允許自動清除陳舊數據，以支持 ScanCentral DAST 數據庫維護及高使用環境中的系統性能。

防止應用程序中斷

如果正在運行的掃描發生了中斷，或強制完成掃描但未啟動新掃描時，ScanCentral DAST 將確保不會中斷應用程序和掃描過程。

提供基本設置功能

基本設置使 ScanCentral DAST 管理員能夠跨所有應用程序或特定應用程序掃描設置模板。管理員可以預先配置掃描模板并將其提供給用戶，使用戶在不了解安全知識的情況下也能掃描他們的應用程序。

Fortify SCA掃描結果展示

1.根據漏洞的可能性和嚴重性進行分類篩選

我們觀察fortify掃描的每一條漏洞，會有如下2個標識，嚴重性(IMPACT)和可能性(LIKEHOOD)，這兩個標識的取值是從0.1~5.0，我們可以根據自己的需要篩選展示對應嚴重性和可能性范圍的漏洞，這些漏洞必須修復，其他不嚴重的或者難以利用的漏洞可以作為中低危漏洞做選擇性修復。如果我們的應用是新聞資訊或者體育類應用，那么我們可以把閾值調高，增加漏報率，降低誤報率。如果我們的應用是金融理財或交易類應用，那么我們可以把閾值調低，增加誤報率，降低漏報率

Fortify SCA基本功能

3、必須支持以下編程語言,包括,C,C++,C#, Flex/Acti0nscript, Java,

Javascript/AJAX, JSP, Objective

C,PL/SQL,PHP,T-SQL,VB.NET,VBscript,VB6,XML/HTML，Python, ColdFusion,

COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等語言。

4、必須支持工具的IDE集成，如：Visual Studio2019/2017/2015、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse

等開發工具。

5、需支持部署在多種操作系統，即可以安裝在所有主流操作系統中，如：Windows、Linux、MacOS等。

6、工具的技術達到水平和地位，在的IT研究咨詢機構Gartner的報告中，必須位于魔力象限的象限業界地位（提供證明材料）。

7、工具支持自動檢測版本更新，漏洞規則庫支持在線定期自動更新，可以在線和離線兩種方式進行升級更新。

8、測試、掃描速度快。如測試速度不低于1萬行代碼/分鐘。可以隨著CPU核數和內存的增加大幅提高測試速度。

9、提供靈活的使用分析方式，如IDE集成分析、命令行分析、審計控制臺分析等。