hpfortify解决方案-pHPESP家族

HP

Fortify解决方案中国HP

ESP

解决方案SecurityPerformance

SuiteHP

Security

Performance

Suite

Pillars

-Better

TogetherArcSight

RepSMTip Point

WebApp-DVProfessional

Services,

Support,

Education

and

GlobalPartners.Fortify

Runtime

(AppSM)HPSRHP

GlobalResearchDV-LabsFSRG+HP-LabsESSCredit:

Angelo

Brancato3（IAST）互动式应用程序安全测试(IAST)将静态应用程序安全测试(SAST)与动态应用程序安全测试(DAST)技术进行结合。其目的是要通过SAST与DAST技术之间的互动以提升应用程序安全测试的准确度。IAST集合了SAST与DAST最好的优点于一单一解决方案。有了这套方

法，就能确认或排除已侦测到的漏Gartner：2014年十大技术--------互动式应用程序安全测试洞是否可能遭到

，并判断来源在应用程序代码中的位置。国家及层面《等级保护基本要求》一级：要求开始就对外包开发在上线前进行 代码检测，“应在软件安装之前检测 包中可能存在的 代码”。在测试验收中，提出了对系统进行安全性测试，“应对系统进行安全性测试验收”。二级：要求中，增加了对源代码进行后门检查的要求，“应要求开发单位提供 源代码，并 中可能存在的后门”。要求由第 测试单位实施系统安全性测试，“应测试单位对系统进行安全性测试，并出具安全性测试报三级：要求中明确委托公正的第告”。四级：要求中增加了对源代码隐蔽信道的安全检查要求。管理体系要求（IDT

ISO/IEC27001：2005）根据《

管理系统要求》中控制目标“防范

代码和移动代码”，“应用中正确处理”，“技术脆弱性管理”的要求，应用系统必须以相应的控制措施提供相应的功能。为验证安全功能的实现，在IT审计工程中，必然需要相应的测试结论提供相应的支持。其中“防范代码和移动代码”，“应用中正确处理”，“技术脆弱性管理”等要求均可以利用代码进行控制目标的验证。电信行业《关于进一步强化开发测试系统及合作伙伴

安全管理的通知》拜访客户的部门：中国移动

业务支撑部所属的研发、测试部门沟通主要切入点：《关于进一步强化开发测试系统及合作伙伴 安全管理的通知》要求对应用代码进行安全审计。成功案例：移动、

移动、湖南移动、福建移动等省移动公司业支的项目，还有中国移动 、中国电信 、中国 等。下一步机会：中国移动 有计划上源代码审计的产品和服务安全管理的通《关于进一步强化开发测试系统及合作伙伴知》（四）重点开展应用代码审计，公应用代码审计是解决应用代码存在

或 等问题的有效司应建立应用代码审计制度，重点规范以下管理要求。公司应要求应用开发商对所开发应用代码进行安全测试，重点审核应用代码中批量关键敏感数据及数据输出等代码内容，并在上线之前向业务支撑部门提交其源代码及代码审计报告，进行存档备案。公司应不定期组织开展第代码审计工作，同时总部也将对业务支撑网关键应用 进行代码审计抽检。《中国移动第管理办法》第三章第十六条第十六条第公司参与或独立开发的业务系统或程序，应版本管理工作，并主动在上线入网验收前口主管部门提交其源代码或代码审计报告，对口主管部门进行备案存档。金融行业《网上银行系统通用规范》明确要求由外包方开发的客户端程序要进行代码安全测试并须通过第 中立测试机构的安全检测中WEB应用安全对编码规范约束、防止SQL注入

、防止跨站等对方机构出具相应的安全及代码安全做出了明确要求，而且指定了要求第三报告。PCI

DSS支付卡行业数据安全标准PCI

DSS中：6.3.7

“在发布生产以前检查自定义代码，以识别所有潜在的编码

”6.6“对于面向公众的

Web

应用程序，经常解决新的

和 ，并确保保护这些应用程序不受到以下任一方法的 ”。此项要求中明确提出了由独立于开发团队的 组织或第 专业机构进行代码安全

。电子银行业务管理办法及电子银行安全评估指引在《电子银行业务管理办法》对电子银行系统的安全性进行了规范，申请电子银行业务时需要提交电子银行安全性评估报告。目前《电子银行安全评估指引》是电子银行安全性评估的准则，其第三十一条明确规定电子银行系统的安全性评估须包括应用系统安全性评估内容，但未对应用系统安全性评估方法进行明确规范，鉴于已出台的《网上银行系统查相关通用规范（试行）》，可以在其测试过程中，增加代码审方法。电力行业2014年信息化国家电网信通〔2014〕138号_国家电网公司建设实施意见主动防御体系。强化入网前安全隐患发现能力，建成安32.建成全检测体系，防范“带病入网”；建设公司新一代安全 设施，重点加强对特殊 、敏感信息的全过程

，形成策略配置、监测 、审计分析、应急处置等能力；加强防管理，建设公司化对一级部署系密钥管理体系，建立公司 补丁管理体系；强类应用、对外服务应用的应急保障，制定高风险业务 ，指导开展高风险业务安全防护与应急处置；开展攻防实战演习，检验各单位应对突发事件的应急响应能力。中国统信部函【2014】186号1资讯安全不懂 开发开发品保不懂

安全知识测试现状:在

内准时完成

-

功能测试与性能测试安全测试的代沟要搭起安全测试整合桥梁挑选属于Fortify的客户丰富的应用，形式，开发模式，开发语言部门要求安全性要求高数据不能丢失更不能被窃取遭遇到了管理层重视高瞻远瞩找对部门找对人30X15X10X5X2X在产品上线阶段修复的成本多花费超过30倍修复

的成本成本Source:

NIST系统上线系统测试集成/单元测试编码需求分析RuntimeWebInspectSCAEducation实时 分析RTA在运行系统的实时保护管理集成构建静态分析SCA源代码动态分析Webinspect应用程序运行在QA/生产环境安全&

开发应用安全修复相关的目标HP

SSC应用

安全所有相关风险降低的衡量标准Threat

Driven

CentralRules

Management(静态,动态,实时)Normalization(Scoring,

Guidance)VulnerabilityDatabaseCorrelation(Static,

Dynamic,

Runtime)HP

Fortify

应用安全HP

Fortify

Static

Codeyzer

(SCA)自动化安全测试产品人工安全测试清除 中的各种SQL

注入XSS

跨静态分析–发现和修复源代码的安全隐患用户场景：用户拥有开发团队，拥有源代码特征:静态应用程序安全性测试，自动化识别在开发期间应用程序源代码的安全 和质量问题查明源代码

的根本原因，提供详尽的修复指导支持21种语言,600

+

类别HP

Fortify

StaticCodeyzer

(SCA)ABP.NET、C,C++、C#、Classic

ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJAX、JSP、Objective

C、PL/SQL、PHP、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTML优势:拥有最大的市场份额和最高的用户口碑支持最多的开发语言，操作系统发现的安全 有无与伦比的准确性和全面性拥有业界最庞大最 的代码 规则库拥有强大集成功能，整合开发流程测试流程Fortify

SCA工作原理ysis

EngineSemanticGlobal

Data

FlowControlFlow

Configuration

StructuralAudit

WorkbenchFortify

360

ServerRules

BuilderFront-EndJavaC/C++.NET

TSQL

JSP

PLSQL

XMLNSTCustomPre-Packaged3rd

party

IDEPlug-In.fvdl/.fprFortify审计---Audit

Workbench分级报告的信息项目的源代码修复的方法

产生的全路

径的 信息的详细说明Audit

Workbench---AuditAudit

Workbench----VulncatAudit

Workbench---ReportFortify

Security

Center--dashboard动态分析–发现在运行应用程序的安全问题用户场景：无需源代码，大量Web应用，上线前最终验证安全性特征:领先的自动化应用安全测试解决方案对Web应用、WebServices进行安全检测对Web应用技术的广泛支持AJAX、JavaScript、Flash、Silverlight、Web

Services等自动更新安全规则自动产生缺陷报告和详细修复建议优势:唯一的由世界领先的Web安全 和更新的产品通过WebInspect

Agent实现黑白盒关联分析具有最强大的报告系统,可以提供一个快速、灵活和可扩展的报告HP

WebInspect

与WAF

&

Tip Point整合防御HP

WebInspect先理解“动态测试”DynamicTesterDynamic安全保障

–HP

WebInspect为安全 和高级安全测试业界领先的自动化应用安全测试解决方案对Web、WebServices应用进行安全检测自动更新安全规则自动产生缺陷报告和详细修复建议使用HPWebInspect的优势对Web应用技术的广泛支持AJAX、JavaScript、Flash、Silverlight、Web

Services等创建宏以记录检测步骤，实现重复性检测的自动化同步扫描与审计和智能引擎同时启动和管理多个扫描进程，从而增加检测量扫描模型分析应用，获取扫描配置设置建议，以提高扫描的效力和准确性自带多种渗透检测工具，从而对所发现的应用安全 进行再验证以各种标准格式（HTML、PDF、RTF、XML、TXT以及XLS等格式）导出结果报告与测试管理平台QC无缝集成与白盒应用安全测试工具相得益彰系统的检测、预防和应用程序安全事件日志用户场景：没有安全测试，应用无法 ，上线后的 防护特征:Runtime

Application

Protection提供对WEB应用系统运行时刻的防护和 功能只针对Java、.net应用Runtime

Application

Logging向SIEM管理平台记录应用安全信息和用户活动事件的日志实现与ArcSight

ESM集成优势:防护和 功能优于W