Продукты

HPE Fortify Static Code Analyzer

Чем раньше будут найдены бреши в безопасности во время разработки, тем меньше усилий понадобится для их закрытия. Для того чтобы быть эффективным, анализ исходного кода должен быть больше, чем просто тщательным и точным — он должен обеспечивать понимание сути причин проблем с безопасностью и, в то же время, помогать расставить приоритеты и выявить, с какими уязвимостями работать в первую очередь.

HPE Fortify Static Code Analyzer (SCA) – это программное обеспечение для статического тестирования безопасности приложений. Оно сканирует исходный код, определяет причины возникновения уязвимостей, после чего сравнивает и приоритизирует результаты, предоставляя подробные данные (вплоть до отдельных строк с кодом), которые помогут устранить бреши в безопасности. Решение использует титулованный статический анализ HPE Fortify для обеспечения наиболее полного обнаружения уязвимостей в исходном коде, доступного на сегодняшний момент, и обеспечивает ключевой функционал, требуемый для эффективной работы Software Security Assurance (SSA).

Решение HPE Fortify SCA обеспечивает уверенность в надежности программного обеспечения, позволяет снизить затраты на поиск и устранение уязвимостей в приложениях, а также заложить основу для лучших практик безопасного программирования.

Ключевые особенности HPE Fortify Static Code Analyzer:

  • Обнаружение первопричины уязвимости с помощью наиболее совершенного набора доступных правил безопасного программирования.
  • Поддержание наибольшего количества языков, платформ, рабочих сред (интегрированные среды разработки (Integrated Development Environments)) и программных компонентов интерфейсов прикладного программирования (API).
  • Проведение статического анализа в исходном коде для точного определения первопричины уязвимости в безопасности.
  • Определение более 480 типов уязвимостей безопасности в программном обеспечении в более чем 20 языках разработки – наибольший показатель в отрасли.
  • Получение результатов, ранжированных по степени риска и инструкций по устранению уязвимости в коде (построчно).
  • Соответствие требованиям по безопасности приложений.

Сокращение рисков
Решение HPE Fortify Static Code Analyzer обеспечивает сокращение рисков за счет обнаружения уязвимостей, которые представляют наибольшую угрозу.

Оперативное обнаружение уязвимостей
HPE Fortify SCA предоставляет возможность оперативного обнаружения и устранения доступных уязвимостей на постоянной основе.

Выявление уязвимостей на этапе разработки ПО
Решение позволяет снизить затраты на разработку за счет выявления уязвимостей на раннем этапе цикла разработки программного обеспечения.

Совместная работа команд разработки и безопасности
HPE Fortify SCA объединяет усилия команд разработки и служб безопасности для выявления угроз безопасности и снижения рисков, связанных с программным обеспечением, а также сокращения затрат и времени на разработку.

Приоритизация обнаруженных уязвимостей
Решение позволяет выявлять уязвимости в исходном коде, приоритизировать их по серьезности и важности и предоставлять рекомендации по их устранению.

Требования по оборудованию

Компания HPE рекомендует устанавливать продукт HPE Fortify Static Code Analyzer (SCA) на сервер с высокопроизводительным процессором и оперативной памятью 1Gb.

Продукт HPE Fortify SCA поддерживает следующие платформы и архитектуры:

Операционная система Архитектура Версия
Linux x86: 32-bit & 64-bit Fedora Core 7 Red Hat® ES 4, ES5 Novell SUSE 10 Oracle EL 5.2
Windows x86: 32-bit & 64-bit 2003 SP1 2008 XP Vista Business Vista Ultimate Windows 7
Windows x86: 32-bit 2000
Mac OS x86 10.5, 10.6
Oracle Solaris SPARC 8, 9, 10
x86 10
HP-UX PA-RISC 11.11
AIX PPC 5.2
FreeBSD x86: 32-bit 6.3, 7.0

Примечание: Audit Workbench и Secure Coding Plugins не поддерживаются на HP-UX, IBM AIX, Oracle Solaris и Free BSD.

Примечание: набор средств безопасного программирования (Secure Coding Package) для Microsoft Visual Studio 2003 не поддерживается на Windows Vista и выше.

Международные платформы и архитектуры

Продукт HPE Fortify SCA поддерживает двухбайтовые и международные наборы символов при установке на следующие платформы:

Операционная система Архитектура Версия
Linux Red Hat® ES 5, Novell SUSE 10 Fedora Core 7 x86: 32-bit
Windows 2003 SP1 2008 Vista Business Vista Ultimate x86: 32-bit
Oracle Solaris 10 x86

Для неанглоязычных платформ, следующее не поддерживается:

— OS: Windows 2000, HP-UX, IBM AIX, Macintosh OS X, Oracle Solaris SPARC, и вся 64-bit архитектура;
— Серверы приложений: Jrun, jBoss, BEA Weblogic 10;
— Базы данных: DB2.

Примечание: локализованная документация не включена в данную версию.

Языки

Продукт HPE Fortify SCA поддерживает следующие языки программирования:

Язык Версия
Version ASP.NET, VB.NET, C# (.NET) 1.1, 2.0, 3.0, 3.5
C/C++ See «Compilers»
Classic ASP (with VBScript) 2 / 3
COBOL IBM Enterprise Cobol для z/OS 3.4.1 с IMS, DB2, CICS, MQ
CFML 5, 7, 8
HTML 2
Java 1.3, 1.4, 1.5, 1.6
JavaScript/AJAX 1.7
JSP JSP 1.2 / 2.1
PHP 5
PL/SQL 8.1.6
Python 2.6
T-SQL SQL Server 2005
Visual Basic 6
VBScript 2.0 / 5.0
ActionScript/MXML 3 и 4
XML 1.0
ABAP/4
Средства разработки Версия
Ant 1.5.x, 1.6.x, 1.7.x
Maven 2.0.9 и выше

Компиляторы

Продукт HPE Fortify SCA поддерживает следующие компиляторы:

Компиляторы Операционная система
GNU gcc 2.9 – 4 AIX, Linux, HP-UX, Mac OS, Solaris, Windows
GNU g++ 3 – 4 AIX, Linux, HP-UX, Mac OS, Solaris, Windows
IBM javac 1.3 – 1.6 AIX
Intel icc 8.0 Linux
Microsoft cl 12.x – 13.x Windows
Microsoft csc 7.1 – 8.x Windows
Oracle cc 5.5 Solaris
Oracle javac 1.3 – 1.6 Linux, HP-UX, Mac OS, Solaris, Windows

Интегрированные среды разработки

HPE Fortify Software Security Center Plug-in для Eclipse и HPE Fortify Software Security Center Package для Visual Studio поддерживают следующие платформы:

Операционная система IDE
Linux Eclipse 3.2, 3.3, 3.4, 3.5, 3.6 RAD 7, 7.5 RSA 7, 7.5 JBuilder 2008 R2 JDeveloper 10.1.3, 11.1.1
Windows Eclipse 3.2, 3.3, 3.4, 3.5 Visual Studio 2003, 2005, 2008,2010 RAD 6, 7, 7.5 RSA 7, 7.5 JBuilder 2008 R2 JDeveloper 10.1.3, 11.1.1
Mac OSX Eclipse 3.2, 3.3, 3.4, 3.5, 3.6 JBuilder 2008 R2 JDeveloper 10.1.3, 11.1.1

Примечание: HPE Fortify Software Security Center не поддерживает Eclipse 3.4+, запущенный на 64-bit JRE. Однако HPE Fortify Software Security Center поддерживает 32-bit Eclipse, запущенный на 32-bit JRE на a 64-bit платформе.

Интеграция со сторонними сервисами

HPE Fortify Audit Workbench и Secure Code Plug-ins (SCP) поддерживают интеграцию со следующими сервисами:

Сервис Приложение Версия Поддерживаемое средство
Bug Creation Bugzilla 3.0 Audit Workbench, Visual Studio SCP, Eclipse SCP
HPE Quality Center 9.2, 10.0 Audit Workbench, Eclipse SCP
Microsoft Team Foundation Server 2005, 2008,2010 Visual Studio SCP

Примечание: HPE Quality Center integration требует, чтобы было установлено программное обеспечение Audit Workbench и/или Secure Code Plug-in для Eclipse на платформу Windows.

Примечание: интеграция HPE Quality Center требует, чтобы было установлено программное обеспечение HPE QC Client-Side Add-in.

Примечание: интеграция Team Foundation Server требует, чтобы было установлено программное обеспечение Studio Team Explorer.