Introdução

 Solução eficaz para localizar, diagnosticar e corrigir vulnerabilidades nos Códigos Fonte das Aplicações Web. Suas características avançadas ajudam os desenvolvedores a identificar e resolver problemas com o menor esforço, permitindo ao mesmo tempo a segurança e o desenvolvimento do código em menor tempo. Fortify é marca registrada da Fortify Inc.

 O Fortify SCA™ utiliza sofisticados analisadores como X-Tier Dataflow™ que realiza análises para detectar uma vastidão de vulnerabilidades. Os analisadores do Fortify SCA™ são guiados pelos maiores e mais completos conjuntos de regras de codificação segura, com mais de 150 (cento e cinqüenta) categorias de vulnerabilidades, que são continuamente atualizadas pelos especialistas de segurança da Fortify Software™.

 Fornece resultado preciso "Out of the Box”. As regras de codificação são atualizadas automaticamente para trazer as mais avançadas perícias de segurança que identificam com precisão as possíveis vulnerabilidades. Contem características essenciais para ajustar a análise do código fonte à aplicação ao componente ou ao servidor de Web.
A ferramenta Fortify SCA™ foi desenvolvida para atender a qualquer tipo ou tamanho de Empresa, possibilitando diversos tipos de configurações permitindo analisar aplicações com mais de 20 milhões de linhas do código e suportando uma grande variedade de linguagens, plataformas, ambientes integrados de desenvolvimento (IDEs).

Linguagens Suportadas ASP.NET C/C++ C# ColdFusion JAVA JSP PL/SQL T-SQL XML VB.NET e outras linguagens dotNET Plataformas   Windows Solaris Linux Mac OS X HP-UX AIX     Frameworks   J2ee/ejb Struts Hibernate     IDES   Microsoft Visual Studio Eclipse Websphere Application Developer IBM Rational Application Developer

Mais de 150 Categorias de Vulnerabilidades, incluindo: Buffer Overflow, Command Injection, Cross-Site Scripting, Denial of Service, Format String, Integer Overflow, Log Forging, Password Management, Path Manipulation, Privacy Violation, Race Condition, Session Fixation, SQL Injection, System Information Leak, Unreleased Resource. E atende aos requisitos e normas de compliance: PCI – Payment Card Industry, OWASP Top Ten, Data Security Standards e HIPAA, dentre outras.

Benefícios

Data Flow Analyzer: Análise do fluxo em toda a Aplicação, camadas de arquitetura e linguagem de programação, utilizando a tecnologia do X-Tier Dataflow™ analisys. Semantic Analyser: Analisador de Semântica detecta o uso de funções ou de procedimentos vulneráveis e compreende o contexto do seu uso. Control Flow Analyzer: Precisão no seqüenciamento de operações para detectar construção de codificação imprópria. Configuration Analyzer: Analisador de Configuração que identifica as vulnerabilidades nas interações entre configurações e o código. Structural Analyzer: Analisador de Estrutura que identifica as vulnerabilidades ou problemas decorrentes da estrutura do código. Integração com Findbugs: Ferramenta líder do mercado em código aberto Java Findbugs ajudando e poupando tempo na revisão de normas de segurança e qualidade das Aplicações.

Módulos

Fortify Defender: - Pode cobrir mais de 50 tipos de API´s, como bancos de dados, sistemas de arquivos e de rede; os seus “monitores” podem detectar mais de 15 categorias de ataques dos Hackers, incluindo Cross Site Scripiting (XSS), SQL Injection, Buffer Owerflow, Privacy Violations, http Response Splitting.

Possibilita a utilização da aplicação no ambiente de produção de maneira segura, enquanto as equipes de desenvolvimento o customizam e corrigem os pontos vulneráveis.

Fortify Manager: Através de uma única console propicia o gerenciamento de múltiplos projetos de auditoria, fornecendo o gerenciamento centralizado das regras e políticas.

Envia alerta ao identificar uma vulnerabilidade. Permite a geração automática de relatórios e gráficos para o acompanhamento da gestão de segurança e o desenvolvimento das equipes. Os resultados obtidos através do Fortify SCA™ podem ser utilizados pelo Fortify Manager™, para a emissão de relatórios de controle, para acompanhamento de métricas e tendências nos projetos, possibilitando ainda comparações entre os diversos grupos envolvidos nos projetos. Fortify Tracer:Utilizado para a realização de “testes de caixa preta” das aplicações WEB, oferece cobertura estatística para a aplicação como um todo apresentando informações para cada vulnerabilidade, incluindo o nome do arquivo, a linha do código e possibilitando a geração de relatórios e gráficos. Operando dentro da aplicação, o Fortify Tracer™ pode encontrar e identificar as vulnerabilidades que outros softwares concorrentes não conseguem identificar, tais como: Violação de Privacidades e diversas formas de Injeção de SQL.