Fortify Micro Focus Static Code Analyzer WebInspect Sonatype Secure Code Warrior

黑白箱測試平台確保雲原生App安全

自動化左移測試 提升開發品質

2020-10-21
因應數位化應用服務成為現代企業發展目標,DevOps團隊被賦予持續整合與持續部署(CI/CD)的任務,往往難有時間細察安全性問題,如今隨著攻擊手法變化,再加上開源套件已成為DevOps團隊慣於採用的技術,潛在的漏洞更無從被發現,通常是已經被攻擊者滲透並且引發資安事件之後,才開始重視安全性議題。

面對此現況,在應用程式白箱(SAST)與黑箱(DAST)測試領域發展長達17年的Micro Focus Fortify,正可提供DevOps團隊以自動化方式降低風險。近年來Fortify不僅持續增加開發語言與框架的覆蓋程度、降低源碼掃描與滲透測試的誤判率,伴隨著開發環境演進到雲端原生,旗下的SCA(Static Code Analyzer)靜態程式碼檢測分析與WebInspect動態應用程式安全檢測技術,亦可部署於雲端原生主流的容器環境,Micro Focus企業資訊安全資深技術顧問李柏厚更指出,接下來將以ScanCentral單一平台來提供,並且協同開源陣營的Sonatype漏洞資料庫整合運行。

他進一步提到,Fortify整體解決方案可選擇自建或雲端版本,達到自動化、敏捷性的目標。較以往不同的是,Fortify可攜手第三方技術共同執行,例如GitHub、Jenkins等現代DevOps團隊常用的工具,以及開源的Sonatype執行掃描,Fortify研究中心會運用SCA與Webinspect工具執行,Application Defender負責監看即時運行狀態,一旦發現應用程式漏洞或正在嘗試滲透的行為隨即通報管理者。

Micro Focus Fortify去年(2019)開始的發展方向是把過去Fortify On-demand累積的專家知識,轉換成可重複運用的資料集(Dataset),讓Audit Assistant以人工智慧輔助判別漏洞真偽,企業可藉由檢測產出的報告中提出更正回饋,持續地訓練資料集提升判別精準度。目前正積極推展的是部署在雲端原生平台,可隨需啟用或撤銷,只要透過API或觸發執行指令,更貼近DevOps團隊工作流程;亦可提供預先制定的測試樣本,讓開發人員直接套用執行,縮短程式碼掃描需耗費的時間。

針對容器應用程式安全掃描,Fortify漏洞引擎可餵入第三方的Clair等威脅情資輔助辨識,Plug-in到開發流程中常用的Maven、Gradle等建構程式碼工具中合併掃描,以便及時發現漏洞,並透過整合Jira、Bugzilla等追蹤修復管理。

Fortify研究中心會運用SCA與Webinspect工具執行,Application Defender負責監看即時運行狀態,一旦發現應用程式漏洞或正在嘗試滲透的行為隨即通報管理者。

他舉例,DevOps團隊運用Fortify進行白箱掃描的方式,可直接在Kubernetes產生新的容器,註冊到Jenkins持續整合工具,讓開發者提交程式碼,經過掃描後主動上傳到Fortify Software Security Center解析,任務完成後提交報告,並且Jenkins會通知Kubernetes撤銷容器釋放資源。

較特別的是Micro Focus與Secure Code Warrior合作,共同提供安全開發訓練,在掃描程式碼後指出問題點,並且說明原因與後續影響,讓開發團隊在實際專案中不斷精進技能與專業知識。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!