hpfortify解決方案-pHPESP家族

HP

Fortify解決方案中國(guó)HP

ESP

解決方案SecurityPerformance

SuiteHP

Security

Performance

Suite

Pillars

-Better

TogetherArcSight

RepSMTip Point

WebApp-DVProfessional

Services,

Support,

Education

and

GlobalPartners.Fortify

Runtime

(AppSM)HPSRHP

GlobalResearchDV-LabsFSRG+HP-LabsESSCredit:

Angelo

Brancato3（IAST）互動(dòng)式應(yīng)用程序安全測(cè)試(IAST)將靜態(tài)應(yīng)用程序安全測(cè)試(SAST)與動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)技術(shù)進(jìn)行結(jié)合。其目的是要通過(guò)SAST與DAST技術(shù)之間的互動(dòng)以提升應(yīng)用程序安全測(cè)試的準(zhǔn)確度。IAST集合了SAST與DAST最好的優(yōu)點(diǎn)于一單一解決方案。有了這套方

法，就能確認(rèn)或排除已偵測(cè)到的漏Gartner：2014年十大技術(shù)--------互動(dòng)式應(yīng)用程序安全測(cè)試洞是否可能遭到

，并判斷來(lái)源在應(yīng)用程序代碼中的位置。國(guó)家及層面《等級(jí)保護(hù)基本要求》一級(jí)：要求開(kāi)始就對(duì)外包開(kāi)發(fā)在上線前進(jìn)行 代碼檢測(cè)，“應(yīng)在軟件安裝之前檢測(cè) 包中可能存在的 代碼”。在測(cè)試驗(yàn)收中，提出了對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，“應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收”。二級(jí)：要求中，增加了對(duì)源代碼進(jìn)行后門檢查的要求，“應(yīng)要求開(kāi)發(fā)單位提供 源代碼，并 中可能存在的后門”。要求由第 測(cè)試單位實(shí)施系統(tǒng)安全性測(cè)試，“應(yīng)測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)三級(jí)：要求中明確委托公正的第告”。四級(jí)：要求中增加了對(duì)源代碼隱蔽信道的安全檢查要求。管理體系要求（IDT

ISO/IEC27001：2005）根據(jù)《

管理系統(tǒng)要求》中控制目標(biāo)“防范

代碼和移動(dòng)代碼”，“應(yīng)用中正確處理”，“技術(shù)脆弱性管理”的要求，應(yīng)用系統(tǒng)必須以相應(yīng)的控制措施提供相應(yīng)的功能。為驗(yàn)證安全功能的實(shí)現(xiàn)，在IT審計(jì)工程中，必然需要相應(yīng)的測(cè)試結(jié)論提供相應(yīng)的支持。其中“防范代碼和移動(dòng)代碼”，“應(yīng)用中正確處理”，“技術(shù)脆弱性管理”等要求均可以利用代碼進(jìn)行控制目標(biāo)的驗(yàn)證。電信行業(yè)《關(guān)于進(jìn)一步強(qiáng)化開(kāi)發(fā)測(cè)試系統(tǒng)及合作伙伴

安全管理的通知》拜訪客戶的部門：中國(guó)移動(dòng)

業(yè)務(wù)支撐部所屬的研發(fā)、測(cè)試部門溝通主要切入點(diǎn)：《關(guān)于進(jìn)一步強(qiáng)化開(kāi)發(fā)測(cè)試系統(tǒng)及合作伙伴 安全管理的通知》要求對(duì)應(yīng)用代碼進(jìn)行安全審計(jì)。成功案例：移動(dòng)、

移動(dòng)、湖南移動(dòng)、福建移動(dòng)等省移動(dòng)公司業(yè)支的項(xiàng)目，還有中國(guó)移動(dòng) 、中國(guó)電信 、中國(guó) 等。下一步機(jī)會(huì)：中國(guó)移動(dòng) 有計(jì)劃上源代碼審計(jì)的產(chǎn)品和服務(wù)安全管理的通《關(guān)于進(jìn)一步強(qiáng)化開(kāi)發(fā)測(cè)試系統(tǒng)及合作伙伴知》（四）重點(diǎn)開(kāi)展應(yīng)用代碼審計(jì)，公應(yīng)用代碼審計(jì)是解決應(yīng)用代碼存在

或 等問(wèn)題的有效司應(yīng)建立應(yīng)用代碼審計(jì)制度，重點(diǎn)規(guī)范以下管理要求。公司應(yīng)要求應(yīng)用開(kāi)發(fā)商對(duì)所開(kāi)發(fā)應(yīng)用代碼進(jìn)行安全測(cè)試，重點(diǎn)審核應(yīng)用代碼中批量關(guān)鍵敏感數(shù)據(jù)及數(shù)據(jù)輸出等代碼內(nèi)容，并在上線之前向業(yè)務(wù)支撐部門提交其源代碼及代碼審計(jì)報(bào)告，進(jìn)行存檔備案。公司應(yīng)不定期組織開(kāi)展第代碼審計(jì)工作，同時(shí)總部也將對(duì)業(yè)務(wù)支撐網(wǎng)關(guān)鍵應(yīng)用 進(jìn)行代碼審計(jì)抽檢?！吨袊?guó)移動(dòng)第管理辦法》第三章第十六條第十六條第公司參與或獨(dú)立開(kāi)發(fā)的業(yè)務(wù)系統(tǒng)或程序，應(yīng)版本管理工作，并主動(dòng)在上線入網(wǎng)驗(yàn)收前口主管部門提交其源代碼或代碼審計(jì)報(bào)告，對(duì)口主管部門進(jìn)行備案存檔。金融行業(yè)《網(wǎng)上銀行系統(tǒng)通用規(guī)范》明確要求由外包方開(kāi)發(fā)的客戶端程序要進(jìn)行代碼安全測(cè)試并須通過(guò)第 中立測(cè)試機(jī)構(gòu)的安全檢測(cè)中WEB應(yīng)用安全對(duì)編碼規(guī)范約束、防止SQL注入

、防止跨站等對(duì)方機(jī)構(gòu)出具相應(yīng)的安全及代碼安全做出了明確要求，而且指定了要求第三報(bào)告。PCI

DSS支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI

DSS中：6.3.7

“在發(fā)布生產(chǎn)以前檢查自定義代碼，以識(shí)別所有潛在的編碼

”6.6“對(duì)于面向公眾的

Web

應(yīng)用程序，經(jīng)常解決新的

和 ，并確保保護(hù)這些應(yīng)用程序不受到以下任一方法的 ”。此項(xiàng)要求中明確提出了由獨(dú)立于開(kāi)發(fā)團(tuán)隊(duì)的 組織或第 專業(yè)機(jī)構(gòu)進(jìn)行代碼安全

。電子銀行業(yè)務(wù)管理辦法及電子銀行安全評(píng)估指引在《電子銀行業(yè)務(wù)管理辦法》對(duì)電子銀行系統(tǒng)的安全性進(jìn)行了規(guī)范，申請(qǐng)電子銀行業(yè)務(wù)時(shí)需要提交電子銀行安全性評(píng)估報(bào)告。目前《電子銀行安全評(píng)估指引》是電子銀行安全性評(píng)估的準(zhǔn)則，其第三十一條明確規(guī)定電子銀行系統(tǒng)的安全性評(píng)估須包括應(yīng)用系統(tǒng)安全性評(píng)估內(nèi)容，但未對(duì)應(yīng)用系統(tǒng)安全性評(píng)估方法進(jìn)行明確規(guī)范，鑒于已出臺(tái)的《網(wǎng)上銀行系統(tǒng)查相關(guān)通用規(guī)范（試行）》，可以在其測(cè)試過(guò)程中，增加代碼審方法。電力行業(yè)2014年信息化國(guó)家電網(wǎng)信通〔2014〕138號(hào)_國(guó)家電網(wǎng)公司建設(shè)實(shí)施意見(jiàn)主動(dòng)防御體系。強(qiáng)化入網(wǎng)前安全隱患發(fā)現(xiàn)能力，建成安32.建成全檢測(cè)體系，防范“帶病入網(wǎng)”；建設(shè)公司新一代安全 設(shè)施，重點(diǎn)加強(qiáng)對(duì)特殊 、敏感信息的全過(guò)程

，形成策略配置、監(jiān)測(cè) 、審計(jì)分析、應(yīng)急處置等能力；加強(qiáng)防管理，建設(shè)公司化對(duì)一級(jí)部署系密鑰管理體系，建立公司 補(bǔ)丁管理體系；強(qiáng)類應(yīng)用、對(duì)外服務(wù)應(yīng)用的應(yīng)急保障，制定高風(fēng)險(xiǎn)業(yè)務(wù) ，指導(dǎo)開(kāi)展高風(fēng)險(xiǎn)業(yè)務(wù)安全防護(hù)與應(yīng)急處置；開(kāi)展攻防實(shí)戰(zhàn)演習(xí)，檢驗(yàn)各單位應(yīng)對(duì)突發(fā)事件的應(yīng)急響應(yīng)能力。中國(guó)統(tǒng)信部函【2014】186號(hào)1資訊安全不懂 開(kāi)發(fā)開(kāi)發(fā)品保不懂

安全知識(shí)測(cè)試現(xiàn)狀:在

內(nèi)準(zhǔn)時(shí)完成

-

功能測(cè)試與性能測(cè)試安全測(cè)試的代溝要搭起安全測(cè)試整合橋梁挑選屬于Fortify的客戶豐富的應(yīng)用，形式，開(kāi)發(fā)模式，開(kāi)發(fā)語(yǔ)言部門要求安全性要求高數(shù)據(jù)不能丟失更不能被竊取遭遇到了管理層重視高瞻遠(yuǎn)矚找對(duì)部門找對(duì)人30X15X10X5X2X在產(chǎn)品上線階段修復(fù)的成本多花費(fèi)超過(guò)30倍修復(fù)

的成本成本Source:

NIST系統(tǒng)上線系統(tǒng)測(cè)試集成/單元測(cè)試編碼需求分析RuntimeWebInspectSCAEducation實(shí)時(shí) 分析RTA在運(yùn)行系統(tǒng)的實(shí)時(shí)保護(hù)管理集成構(gòu)建靜態(tài)分析SCA源代碼動(dòng)態(tài)分析Webinspect應(yīng)用程序運(yùn)行在QA/生產(chǎn)環(huán)境安全&

開(kāi)發(fā)應(yīng)用安全修復(fù)相關(guān)的目標(biāo)HP

SSC應(yīng)用

安全所有相關(guān)風(fēng)險(xiǎn)降低的衡量標(biāo)準(zhǔn)Threat

Driven

CentralRules

Management(靜態(tài),動(dòng)態(tài),實(shí)時(shí))Normalization(Scoring,

Guidance)VulnerabilityDatabaseCorrelation(Static,

Dynamic,

Runtime)HP

Fortify

應(yīng)用安全HP

Fortify

Static

Codeyzer

(SCA)自動(dòng)化安全測(cè)試產(chǎn)品人工安全測(cè)試清除 中的各種SQL

注入XSS

跨靜態(tài)分析–發(fā)現(xiàn)和修復(fù)源代碼的安全隱患用戶場(chǎng)景：用戶擁有開(kāi)發(fā)團(tuán)隊(duì)，擁有源代碼特征:靜態(tài)應(yīng)用程序安全性測(cè)試，自動(dòng)化識(shí)別在開(kāi)發(fā)期間應(yīng)用程序源代碼的安全 和質(zhì)量問(wèn)題查明源代碼

的根本原因，提供詳盡的修復(fù)指導(dǎo)支持21種語(yǔ)言,600

+

類別HP

Fortify

StaticCodeyzer

(SCA)ABP.NET、C,C++、C#、Classic

ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJAX、JSP、Objective

C、PL/SQL、PHP、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTML優(yōu)勢(shì):擁有最大的市場(chǎng)份額和最高的用戶口碑支持最多的開(kāi)發(fā)語(yǔ)言，操作系統(tǒng)發(fā)現(xiàn)的安全 有無(wú)與倫比的準(zhǔn)確性和全面性擁有業(yè)界最龐大最 的代碼 規(guī)則庫(kù)擁有強(qiáng)大集成功能，整合開(kāi)發(fā)流程測(cè)試流程Fortify

SCA工作原理ysis

EngineSemanticGlobal

Data

FlowControlFlow

Configuration

StructuralAudit

WorkbenchFortify

360

ServerRules

BuilderFront-EndJavaC/C++.NET

TSQL

JSP

PLSQL

XMLNSTCustomPre-Packaged3rd

party

IDEPlug-In.fvdl/.fprFortify審計(jì)---Audit

Workbench分級(jí)報(bào)告的信息項(xiàng)目的源代碼修復(fù)的方法

產(chǎn)生的全路

徑的 信息的詳細(xì)說(shuō)明Audit

Workbench---AuditAudit

Workbench----VulncatAudit

Workbench---ReportFortify

Security

Center--dashboard動(dòng)態(tài)分析–發(fā)現(xiàn)在運(yùn)行應(yīng)用程序的安全問(wèn)題用戶場(chǎng)景：無(wú)需源代碼，大量Web應(yīng)用，上線前最終驗(yàn)證安全性特征:領(lǐng)先的自動(dòng)化應(yīng)用安全測(cè)試解決方案對(duì)Web應(yīng)用、WebServices進(jìn)行安全檢測(cè)對(duì)Web應(yīng)用技術(shù)的廣泛支持AJAX、JavaScript、Flash、Silverlight、Web

Services等自動(dòng)更新安全規(guī)則自動(dòng)產(chǎn)生缺陷報(bào)告和詳細(xì)修復(fù)建議優(yōu)勢(shì):唯一的由世界領(lǐng)先的Web安全 和更新的產(chǎn)品通過(guò)WebInspect

Agent實(shí)現(xiàn)黑白盒關(guān)聯(lián)分析具有最強(qiáng)大的報(bào)告系統(tǒng),可以提供一個(gè)快速、靈活和可擴(kuò)展的報(bào)告HP

WebInspect

與WAF

&

Tip Point整合防御HP

WebInspect先理解“動(dòng)態(tài)測(cè)試”DynamicTesterDynamic安全保障

–HP

WebInspect為安全 和高級(jí)安全測(cè)試業(yè)界領(lǐng)先的自動(dòng)化應(yīng)用安全測(cè)試解決方案對(duì)Web、WebServices應(yīng)用進(jìn)行安全檢測(cè)自動(dòng)更新安全規(guī)則自動(dòng)產(chǎn)生缺陷報(bào)告和詳細(xì)修復(fù)建議使用HPWebInspect的優(yōu)勢(shì)對(duì)Web應(yīng)用技術(shù)的廣泛支持AJAX、JavaScript、Flash、Silverlight、Web

Services等創(chuàng)建宏以記錄檢測(cè)步驟，實(shí)現(xiàn)重復(fù)性檢測(cè)的自動(dòng)化同步掃描與審計(jì)和智能引擎同時(shí)啟動(dòng)和管理多個(gè)掃描進(jìn)程，從而增加檢測(cè)量掃描模型分析應(yīng)用，獲取掃描配置設(shè)置建議，以提高掃描的效力和準(zhǔn)確性自帶多種滲透檢測(cè)工具，從而對(duì)所發(fā)現(xiàn)的應(yīng)用安全 進(jìn)行再驗(yàn)證以各種標(biāo)準(zhǔn)格式（HTML、PDF、RTF、XML、TXT以及XLS等格式）導(dǎo)出結(jié)果報(bào)告與測(cè)試管理平臺(tái)QC無(wú)縫集成與白盒應(yīng)用安全測(cè)試工具相得益彰系統(tǒng)的檢測(cè)、預(yù)防和應(yīng)用程序安全事件日志用戶場(chǎng)景：沒(méi)有安全測(cè)試，應(yīng)用無(wú)法 ，上線后的 防護(hù)特征:Runtime

Application

Protection提供對(duì)WEB應(yīng)用系統(tǒng)運(yùn)行時(shí)刻的防護(hù)和 功能只針對(duì)Java、.net應(yīng)用Runtime

Application

Logging向SIEM管理平臺(tái)記錄應(yīng)用安全信息和用戶活動(dòng)事件的日志實(shí)現(xiàn)與ArcSight

ESM集成優(yōu)勢(shì):防護(hù)和 功能優(yōu)于W