宣传册 在整个 SDLC 中 建立应用安全环境 Fortify 应用程序安全产品套件嵌入了端到端保护。 在整个 SDLC 中建立应用安全环境 您的应用程序真的安全吗？ 打开今日新闻，您会看到黑客攻击与其他网络威胁给全球企业带来了多么严重的 破坏。 此外，尽管软件安全的优先级确实在提高，但对于大多企业来说，这项工作仍然 是事后考虑因素 — 四分之一的受访者表示，他们的应用程序安全计划只覆盖了 1% 1 2 到 25% 的应用程序。 近 79% 的应用程序至少包含一个严重或高危漏洞。 新 SDLC 中的应用程序安全 虽然统计数据令人震惊，但应用程序安全意识正在提高。 但在此 期间，开发人员面临着巨大的压力，他们需要以前所未有的速度 构建更好的新应用程序。 因此，开发团队正在转向更灵活的流程 和 DevOps，以进一步简化工作流程并缩短上市时间。 这也迫使 公司考虑采用一种新的软件开发生命周期 (SDLC) 方法，这应该 是一种全新的 SDLC，由始至终地全面审视软件开发过程并集成 安全测试。 完成软件安全测试和管理 Fortify 是应用程序安全领域无可争议的领军者，能够在新 SDLC 的所有阶段提供可靠、全面的安全保护。 它提供了一套灵活、全面 的应用程序安全技术，旨在满足希望将敏捷技术与更强大的保护 和控制相集成的企业的需求。 这些技术共同关注三个不同的保 护领域：安全开发、安全测试以及持续监控和保护。 灵活部署 Forify 提供静态应用程序安全测试 (SAST)、动态应用程序安全 测试 (DAST)、交互式应用程序安全测试 (IAST) 和开放源代码软 件的软件构成分析（通过我们与 Sonatype 的合作实现）。 Fortify Software Security Center 和 Fortify on Demand 完全兼容，因此 您可以选择适合您企业的解决方案。 __________ 1.  调查： 《企业应用程序安全现状》 ，由 BizTechInsights 代表 Micro Focus 制作， 2018 年 2. 《2019 年应用程序安全风险报告》 ，由 Micro Focus Fortify 软件安全研究 团队制作 图 1. 与您使用的 工具相集成 2 在整个 SDLC 中建立应用安全环境 • 对  于希望控制自身扫描运行并将数据和扫描结果保留在内部 的组织，预置解决方案允许您自定义技术以适应组织的工作 流要求并实现更好的控制。 • Fortify on Demand 提供应用程序安全性即服务。 这种按需平 台为组织提供了一种快速而简单的方法，可以在不预先投入时 间和安全资源的情况下启动静态、动态和移动安全测试。 我们 由客户经理、研究人员、测试人员和软件工程师组成的全球团 队是您内部团队的延伸，全天候为您提供所需的支持和技术 专业知识。 Fortify 工具和集成 Fortify Security Assistant、IDE 插件 和集成使安全性更接近开发人员 Forify Security Assistant 使开发人员能够在编码过程中发现和 修复应用程序安全缺陷，从而对自己的代码负责 — 甚至在编译 代码之前消除潜在的安全漏洞。 该解决方案位于开发人员的 IDE 中，允许他们在代码开发过程中持续运行，以获得即时的安全反 馈。 Security Assistant 提供即时反馈，让开发人员可以采取快速、 果断的措施来实时修复漏洞。 它能突出显示易受攻击的代码，效 果如同拼写检查器一样，提供了更正该代码的建议。 它还具有与 集成开发环境 (IDE) 的直观集成，使安全认知和漏洞补救变得流 畅自然。 增强 IDE 插件使开发人员能够启动扫描，查看已确定的 代码问题，并与其他团队合作进行更新。 与源代码储存库、构建服 务器和编排工具相集成，可实现安全自动化、速度和安心保证。 通过在周期的早期快速识别和纠正错误，Forify 可以补充敏捷开 发流程，让组织可以节省大量时间、精力和资金，同时降低风险。 主要优点 • 在  开发人员键入内容时提供即时的安全结果，并对源代码进行 内联分析 • 为  那些对安全技术知之甚少的开发人员提供可以帮助其开发 安全代码的技术 • 跟踪发现和更新措施，以实现即时和持续的保护 • 利用行业领先的技术提供深入准确的分析 了解有关 Fortify Software Security Center 和工具的更多信息 (Web) Fortify Static Code Analyzer (SCA) 静态应用程序安全性测试 (PDF) Fortify Audit Assistant (PDF) Fortify Static Code Analyzer (SCA) — 构建更好的代码并保护软件安全 Fortify SCA 是一种自动化静态测试产品，可在开发过程中建立 安全性。 Fortify SCA 可定位漏洞的根本原因，发现结果的关联并 对其进行优先级排序，并提供了最佳实践，以便开发人员可以更 安全地开发代码。 它可用于审核代码，并帮助开发人员更省时省 力地发现和解决问题。 主要优点 • 通过可重复的流程快速识别并消除可被利用的漏洞。 • 通  过脚本、插件和 GUI 工具集成现有的任何开发环境，让开发 人员可以快速轻松地开始并运行。 • 在混合开发和生产环境中使用，使用多种语言、平台和框架。 了解更多有关 Fortify SCA (PDF)/Fortify SCA (Web) 的信息 “在采用 Fortify SCA 之后，我们最近的一些 应用程序实现了零漏洞。 开发团队基本上能 够做到防患于未然，避免引入应用程序内的 固有问题。 ” Clement Pickering 测试、设计与方法主管 Callcredit Information Group WebInspect — 自动化动态应用程序安全测试 WebInspect 为安全专业人士和新手提供了必要的能力和支持， 支持其快速识别、优先排序和验证正在运行的应用程序中的关 键高风险安全漏洞。 这种自动化解决方案模仿现实世界的黑客 技术，提供有关检测到的漏洞、漏洞被利用后的影响以及快速确 定和修复问题的最佳实践的全面详细信息。 3 在整个 SDLC 中建立应用安全环境 WebInspect Agent 集成了动态测试和运行时分析，通过扩大攻 击面的覆盖范围来识别更多的漏洞。 该解决方案提供了最广泛 的 DAST 覆盖范围，可检测黑盒安全测试技术通常检测不到的 漏洞。 主要优点 • 全  面的仪表板，可跟踪关键漏洞、确认更新措施并提供指标、 进度和趋势 • 借助强大的报告系统提升整个企业的安全知识 • 通  过针对所有主要合规性规定预先配置的策略和报告， 更轻松地实现法律、法规和体系结构要求合规性 了解有关 WebInspect (PDF)/WebInspect (Web) 的更多信息 “提交的代码将按照标准进行详细扫描， 随后会获得一份综合结果报告。 这为我们 的开发人员提供了宝贵的数据，以及直接 通过 Fortify on Demand 门户提供的任何 漏洞说明，从而可以帮助他们更好地了解 和管理任何漏洞。 ” Xavier Pernot IS 安全专家 Generali France Fortify Software Composition Analysis 由 Sonatype 提供支持的 Fortify Software Composition Analysis 可帮助您管理开放源代码和第三方风险和漏洞，以保护软件供应 链的安全。 Forify 将静态 (SAST) 和软件组合分析 (SCA) 合并到 一个平台中，Sonatype 的 Nexus Lifecycle 的综合结果与 Fortify Static Code Analyzer (SCA) 的结果相结合，提供有关应用程序 漏洞的综合视图。 了解更多关于 Fortify Software Composition Analysis 的信息 (Web) Fortify Software Security Center — 对整个应用程序安全计划的可见性 Forify Software Security Center (SSC) 是一个集中化管理储存 库，可为安全管理员和程序管理员提供对其整个应用程序安全 测试程序的可见性。 Fortify SSC 可帮助管理安全测试活动、 根据风险潜力确定更新措施的优先级、衡量改进情况并生成 跨产品组合管理报告，从而准确地描述企业中的软件风险。 Fortify SSC 是统一静态和动态测试结果的平台。 它通过单一界 面针对整个 SDLC 进行问题分类和分配、提供更新指导和报告。 主要优点 • 提高了整个应用程序安全测试计划的准确性和可见性 • 降低与开发、更新和合规性相关的成本 • 通过自动化应用程序安全性计划提高生产率 • 通过确保减少与安全相关的延迟，加快产品上市时间 了解更多有关 Fortify SSC (PDF)/Fortify SSC (Web) 的信息 Fortify on Demand — 应用程序安全性即服务 对于没有时间、资源和专业知识来实施内部安全计划的组织， Fortify on Demand 提供了一种快速而轻松的方法，可以通过 前期投资最少、灵活性高的方式根据不断变化的业务需求进行 扩展。 除静态和动态分析外，按需认证还包括深入的移动应用 程序安全测试、开源分析、供应商应用程序安全管理以及对生产 环境中应用程序的持续监控。 测试结果由应用程序安全专家 手动审核。 主要优点 • 快速准确。 在 1-3 天内提供详细的扫描结果。 • 易  于使用。 通过一个仪表板管理您的整个应用程序安全产品 组合。 查看风险、及早解决问题，管理团队和应用程序的更新 工作。 • 个  性化支持。 结果由应用程序安全专家手动审核。 我们还会 为您安排了一支专门的技术客户管理团队，确保为您提供 全方位的满意服务。 了解有关 Fortify on Demand SAST (PDF) 和 Fortify on Demand DAST (PDF)/Fortify on Demand (Web) 的更多信息 4 在整个 SDLC 中建立应用安全环境 “借助 Fortify on Demand，我们共同从根本 上改变了应用程序安全性满足开发人员需求 的方式。 ” Rajan Gupta 产品安全副总裁 Equifax Fortify 专业服务有助于确保您的成功 构建成功的软件保证计划还