|
Le logiciel Fortify, qui fait désormais partie de Micro Focus, est une solution de test de sécurité des applications statiques (SAST). Ses principales fonctionnalités tournent autour de l'identification et de l'atténuation des vulnérabilités de sécurité dans les applications logicielles tout au long du cycle de vie du développement logiciel (SDLC). Les principales fonctionnalités incluent :
* Analyse statique : C’est le cœur de Fortify. Il analyse le code source, le bytecode et les binaires sans exécuter réellement l'application, identifiant les failles de sécurité potentielles sur la base de règles et de modèles prédéfinis. Cela permet une détection précoce des vulnérabilités avant qu’elles n’atteignent la production.
* Support linguistique étendu : Fortify prend en charge un large éventail de langages de programmation, notamment Java, .NET, C++, C#, PHP, JavaScript, etc. Cela le rend adaptable à divers environnements de développement.
* Détection complète des vulnérabilités : Il identifie un large éventail de failles de sécurité, comprenant :
* Défauts d'injection : Injection SQL, cross-site scripting (XSS), injection de commandes, etc.
* Faux de demande intersite (CSRF)
* Vulnérabilités d'authentification et de gestion de session
* Problèmes de validation et de nettoyage des données
* Failles du contrôle d'accès
* Erreurs de logique métier
* Faiblesses de sécurité de l'API
* Problèmes de cryptographie
* Conseils de priorisation et de remédiation : Fortify n'identifie pas seulement les vulnérabilités; il les hiérarchise également en fonction de la gravité et de la probabilité d'exploitation, aidant ainsi les développeurs à se concentrer en premier sur les problèmes les plus critiques. Il fournit des conseils de remédiation détaillés et contient souvent des liens vers des bonnes pratiques et des exemples de sécurité pertinents.
* Intégration avec les outils de développement : Fortify s'intègre à divers pipelines IDE (environnements de développement intégrés) et CI/CD (intégration continue/livraison continue), permettant une intégration transparente dans les flux de travail existants. Cela permet des tests de sécurité automatisés dans le cadre du processus de construction.
* Rapports et tableaux de bord : Il propose des rapports et des tableaux de bord complets qui fournissent un aperçu de l'état de sécurité de l'application, suivent les progrès au fil du temps et identifient les tendances des types de vulnérabilité.
* Analyse de la composition logicielle (SCA) : De nombreuses offres Fortify incluent des fonctionnalités SCA, qui analysent les composants open source utilisés dans une application, identifiant les vulnérabilités connues dans ces bibliothèques et frameworks. Ceci est crucial pour gérer le risque tiers.
* Analyse des applications Web : Bien qu'il s'agisse principalement d'un outil SAST, certaines offres Fortify peuvent inclure des fonctionnalités de test dynamique de sécurité des applications (DAST) ou de test interactif de sécurité des applications (IAST) pour compléter son analyse statique.
En résumé, les principales fonctionnalités de Fortify visent à fournir une approche complète, intégrée et automatisée des tests de sécurité des applications, permettant aux développeurs de créer des logiciels plus sécurisés. Les fonctionnalités spécifiques disponibles peuvent varier en fonction du produit Fortify spécifique et de la licence achetée.
|
