Geschichte und Ursprung von Fortify
Gartner und Magic Quadrant sind eingetragene Marken von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und werden hier mit Genehmigung verwendet. Alle Rechte vorbehalten. Gartner unterstützt keine in seinen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und rät Technologieanwendern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Gartner-Forschungspublikationen bestehen aus den Meinungen der Forschungsorganisation von Gartner und sollten nicht als Tatsachenbehauptungen ausgelegt werden. Gartner lehnt alle ausdrücklichen oder stillschweigenden Gewährleistungen in Bezug auf diese Forschung ab, einschließlich aller Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Diese Grafik wurde von Gartner, Inc. als Teil eines größeren Forschungsdokuments veröffentlicht und sollte im Kontext des gesamten Dokuments bewertet werden. Das Gartner-Dokument ist auf Anfrage bei Micro Focus erhältlich. * Die Marke Fortify wurde im Laufe der Jahre 8 Mal unter HP, HPE und derzeit unter Micro Focus als Magic Quadrant Leader anerkannt.
Highlights des Gartner Magic Quadrant für Anwendungssicherheitstests 2021:
Fortify on Demand ist zweifellos eine der besten Lösungen für SAST/DAST auf dem Markt.“ – Direktor für Cybersicherheit, Finanzbranche
Sehr empfehlenswert für ganzheitliche Anwendungssicherheit.“ – Sr. Director of Global InfoSec, Dienstleistungsbranche
Lesen Sie noch heute den Gartner Magic Quadrant oder den Application Security Testing-Bericht 2021.
Was ist Fortify
Fortify Software, später bekannt als Fortify Inc., ist ein in Kalifornien ansässiger Software-Sicherheitsanbieter , der 2003 gegründet und 2010 von Hewlett-Packard übernommen wurde, um Teil von HP Enterprise Security Products zu werden. Seit 2017 sind die Produkte von Fortify Eigentum von Micro Focus.
Maschinelles Lernen für Audits
Fortifys Angebot für Anwendungssicherheit als Service (Fortify on Demand) führt wöchentlich Tausende von statischen, dynamischen und mobilen Scans durch und scannt dabei Milliarden von Codezeilen. Fortify on Demand nimmt den Quellcode der Kundenanwendung, führt den Scan durch und übergibt diese Rohscanergebnisse dann (als Mehrwertdienst) an ein Team von Fachprüfern, die Fachexperten sind. Diese Prüfer identifizieren und priorisieren die bemerkenswerten Ergebnisse und entfernen gleichzeitig das Rauschen aus den Ergebnissen. Folglich erhalten Fortify on Demand-Kunden umsetzbare Ergebnisse und können sich in erster Linie auf die Behebung der kritischsten Probleme konzentrieren. Der Fortify Audit Assistant-Dienst verwendet Algorithmen für maschinelles Lernen, um Hunderte Millionen anonymer Auditentscheidungen von Fortify on Demand-Experten zu nutzen. Diese Entscheidungsmodelle werden aktiv für Fortify on Demand verwendet und entwickelt, sind aber auch Technologien, die mithilfe des Audit Assistant automatisch vor Ort auf die Ergebnisse des Fortify Static Code Code Analyzer angewendet werden können. Diese innovative und zum Patent angemeldete Technologie steht Fortify-Kunden seit fünf Jahren zur Verfügung.
Wie funktioniert Fortify bzw. die Fortify-Architektur?
Datenfluss Dieser Analysator erkennt potenzielle Schwachstellen, die mit potenziell gefährlichen Verwendungen von verunreinigten Daten (benutzergesteuerte Eingaben) verbunden sind. Der Datenflussanalysator verwendet eine globale, prozedurale Analyse der Verunreinigungsausbreitung, um den Datenfluss zwischen einer Quelle (Site der Benutzereingabe) und einem Ziel (gefährlicher Funktionsaufruf oder Vorgang) zu erkennen. Der Datenflussanalysator erkennt beispielsweise, ob eine benutzergesteuerte Eingabezeichenfolge unbegrenzter Länge in einen Puffer mit statischer Größe kopiert wird, und erkennt, ob eine benutzergesteuerte Zeichenfolge zum Erstellen von SQL-Abfragetext verwendet wird.
Kontrollfluss Dieser Analysator erkennt potenziell gefährliche Operationssequenzen. Durch die Analyse von Kontrollflusspfaden in einem Programm ermittelt der Kontrollflussanalysator, ob eine Reihe von Operationen in einer bestimmten Reihenfolge ausgeführt werden. Der Kontrollflussanalysator erkennt beispielsweise Probleme beim Prüfzeitpunkt/Verwendungszeitpunkt und nicht initialisierte Variablen und prüft, ob Dienstprogramme wie XML-Reader vor ihrer Verwendung richtig konfiguriert sind.
Strukturell: Dies erkennt potenziell gefährliche Fehler in der Struktur oder Definition des Programms. Beispielsweise erkennt der Strukturanalysator Zuweisungen zu Membervariablen in Java-Servlets, identifiziert die Verwendung von Loggern, die nicht als statisch final deklariert sind, und kennzeichnet Instanzen von totem Code, der aufgrund eines immer falschen Prädikats nie ausgeführt wird.
Semantik: Dieser Analysator erkennt potenziell gefährliche Verwendungen von Funktionen und APIs auf intraprozeduraler Ebene. Im Grunde ein intelligentes GREP.
Konfiguration Dieser Analysator sucht nach Fehlern, Schwachstellen und Richtlinienverletzungen in den Bereitstellungskonfigurationsdateien einer Anwendung.
Puffer: Dieser Analysator erkennt Pufferüberlauf-Schwachstellen, die das Schreiben oder Lesen von mehr Daten beinhalten, als ein Puffer aufnehmen kann.
Mehr lesen: So finden und installieren Sie das Windows 11 22H2 Update
Arbeiten
Diese Technik analysiert jeden möglichen Pfad, dem Ausführung und Daten folgen können, um Schwachstellen zu identifizieren und zu beheben. Bei der Codeverarbeitung funktioniert Fortify SCA ähnlich wie ein Compiler, der Quellcodedateien liest und sie in eine für die Sicherheitsanalyse optimierte Zwischenstruktur konvertiert .