HP

Fortify解決方案中國HP

ESP

解決方案SecurityPerformance

SuiteHP

Security

Performance

Suite

Pillars

-Better

TogetherArcSight

RepSMTip Point

WebApp-DVProfessional

Services,

Support,

Education

and

GlobalPartners.Fortify

Runtime

(AppSM)HPSRHP

GlobalResearchDV-LabsFSRG+HP-LabsESSCredit:

Angelo

Brancato3（IAST）互動式應用程序安全測試(IAST)將靜態應用程序安全測試(SAST)與動態應用程序安全測試(DAST)技術進行結合。其目的是要通過SAST與DAST技術之間的互動以提升應用程序安全測試的準確度。IAST集合了SAST與DAST最好的優點于一單一解決方案。有了這套方

法，就能確認或排除已偵測到的漏Gartner：2014年十大技術--------互動式應用程序安全測試洞是否可能遭到

，并判斷來源在應用程序代碼中的位置。國家及層面《等級保護基本要求》一級：要求開始就對外包開發在上線前進行 代碼檢測，“應在軟件安裝之前檢測 包中可能存在的 代碼”。在測試驗收中，提出了對系統進行安全性測試，“應對系統進行安全性測試驗收”。二級：要求中，增加了對源代碼進行后門檢查的要求，“應要求開發單位提供 源代碼，并 中可能存在的后門”。要求由第 測試單位實施系統安全性測試，“應測試單位對系統進行安全性測試，并出具安全性測試報三級：要求中明確委托公正的第告”。四級：要求中增加了對源代碼隱蔽信道的安全檢查要求。管理體系要求（IDT

ISO/IEC27001：2005）根據《

管理系統要求》中控制目標“防范

代碼和移動代碼”，“應用中正確處理”，“技術脆弱性管理”的要求，應用系統必須以相應的控制措施提供相應的功能。為驗證安全功能的實現，在IT審計工程中，必然需要相應的測試結論提供相應的支持。其中“防范代碼和移動代碼”，“應用中正確處理”，“技術脆弱性管理”等要求均可以利用代碼進行控制目標的驗證。電信行業《關于進一步強化開發測試系統及合作伙伴

安全管理的通知》拜訪客戶的部門：中國移動

業務支撐部所屬的研發、測試部門溝通主要切入點：《關于進一步強化開發測試系統及合作伙伴 安全管理的通知》要求對應用代碼進行安全審計。成功案例：移動、

移動、湖南移動、福建移動等省移動公司業支的項目，還有中國移動 、中國電信 、中國 等。下一步機會：中國移動 有計劃上源代碼審計的產品和服務安全管理的通《關于進一步強化開發測試系統及合作伙伴知》（四）重點開展應用代碼審計，公應用代碼審計是解決應用代碼存在

或 等問題的有效司應建立應用代碼審計制度，重點規范以下管理要求。公司應要求應用開發商對所開發應用代碼進行安全測試，重點審核應用代碼中批量關鍵敏感數據及數據輸出等代碼內容，并在上線之前向業務支撐部門提交其源代碼及代碼審計報告，進行存檔備案。公司應不定期組織開展第代碼審計工作，同時總部也將對業務支撐網關鍵應用 進行代碼審計抽檢?！吨袊苿拥诠芾磙k法》第三章第十六條第十六條第公司參與或獨立開發的業務系統或程序，應版本管理工作，并主動在上線入網驗收前口主管部門提交其源代碼或代碼審計報告，對口主管部門進行備案存檔。金融行業《網上銀行系統通用規范》明確要求由外包方開發的客戶端程序要進行代碼安全測試并須通過第 中立測試機構的安全檢測中WEB應用安全對編碼規范約束、防止SQL注入

、防止跨站等對方機構出具相應的安全及代碼安全做出了明確要求，而且指定了要求第三報告。PCI

DSS支付卡行業數據安全標準PCI

DSS中：6.3.7

“在發布生產以前檢查自定義代碼，以識別所有潛在的編碼

”6.6“對于面向公眾的

Web

應用程序，經常解決新的

和 ，并確保保護這些應用程序不受到以下任一方法的 ”。此項要求中明確提出了由獨立于開發團隊的 組織或第 專業機構進行代碼安全

。電子銀行業務管理辦法及電子銀行安全評估指引在《電子銀行業務管理辦法》對電子銀行系統的安全性進行了規范，申請電子銀行業務時需要提交電子銀行安全性評估報告。目前《電子銀行安全評估指引》是電子銀行安全性評估的準則，其第三十一條明確規定電子銀行系統的安全性評估須包括應用系統安全性評估內容，但未對應用系統安全性評估方法進行明確規范，鑒于已出臺的《網上銀行系統查相關通用規范（試行）》，可以在其測試過程中，增加代碼審方法。電力行業2014年信息化國家電網信通〔2014〕138號_國家電網公司建設實施意見主動防御體系。強化入網前安全隱患發現能力，建成安32.建成全檢測體系，防范“帶病入網”；建設公司新一代安全 設施，重點加強對特殊 、敏感信息的全過程

，形成策略配置、監測 、審計分析、應急處置等能力；加強防管理，建設公司化對一級部署系密鑰管理體系，建立公司 補丁管理體系；強類應用、對外服務應用的應急保障，制定高風險業務 ，指導開展高風險業務安全防護與應急處置；開展攻防實戰演習，檢驗各單位應對突發事件的應急響應能力。中國統信部函【2014】186號1資訊安全不懂 開發開發品保不懂

安全知識測試現狀:在

內準時完成

-

功能測試與性能測試安全測試的代溝要搭起安全測試整合橋梁挑選屬于Fortify的客戶豐富的應用，形式，開發模式，開發語言部門要求安全性要求高數據不能丟失更不能被竊取遭遇到了管理層重視高瞻遠矚找對部門找對人30X15X10X5X2X在產品上線階段修復的成本多花費超過30倍修復

的成本成本Source:

NIST系統上線系統測試集成/單元測試編碼需求分析RuntimeWebInspectSCAEducation實時 分析RTA在運行系統的實時保護管理集成構建靜態分析SCA源代碼動態分析Webinspect應用程序運行在QA/生產環境安全&

開發應用安全修復相關的目標HP

SSC應用

安全所有相關風險降低的衡量標準Threat

Driven

CentralRules

Management(靜態,動態,實時)Normalization(Scoring,

Guidance)VulnerabilityDatabaseCorrelation(Static,

Dynamic,

Runtime)HP

Fortify

應用安全HP

Fortify

Static

Codeyzer

(SCA)自動化安全測試產品人工安全測試清除 中的各種SQL

注入XSS

跨靜態分析–發現和修復源代碼的安全隱患用戶場景：用戶擁有開發團隊，擁有源代碼特征:靜態應用程序安全性測試，自動化識別在開發期間應用程序源代碼的安全 和質量問題查明源代碼

的根本原因，提供詳盡的修復指導支持21種語言,600

+

類別HP

Fortify

StaticCodeyzer

(SCA)ABP.NET、C,C++、C#、Classic

ASP、COBOL、ColdFusion、Flex/ActionScript、Java、JavaScript/AJAX、JSP、Objective

C、PL/SQL、PHP、Python、T-SQL、VB.NET、VBScript、VB6、XML/HTML優勢:擁有最大的市場份額和最高的用戶口碑支持最多的開發語言，操作系統發現的安全 有無與倫比的準確性和全面性擁有業界最龐大最 的代碼 規則庫擁有強大集成功能，整合開發流程測試流程Fortify

SCA工作原理ysis

EngineSemanticGlobal

Data

FlowControlFlow

Configuration

StructuralAudit

WorkbenchFortify

360

ServerRules

BuilderFront-EndJavaC/C++.NET

TSQL

JSP

PLSQL

XMLNSTCustomPre-Packaged3rd

party

IDEPlug-In.fvdl/.fprFortify審計---Audit

Workbench分級報告的信息項目的源代碼修復的方法

產生的全路

徑的 信息的詳細說明Audit

Workbench---AuditAudit

Workbench----VulncatAudit

Workbench---ReportFortify

Security

Center--dashboard動態分析–發現在運行應用程序的安全問題用戶場景：無需源代碼，大量Web應用，上線前最終驗證安全性特征:領先的自動化應用安全測試解決方案對Web應用、WebServices進行安全檢測對Web應用技術的廣泛支持AJAX、JavaScript、Flash、Silverlight、Web

Services等自動更新安全規則自動產生缺陷報告和詳細修復建議優勢:唯一的由世界領先的Web安全 和更新的產品通過WebInspect

Agent實現黑白盒關聯分析具有最強大的報告系統,可以提供一個快速、靈活和可擴展的報告HP

WebInspect

與WAF

&

Tip Point整合防御HP

WebInspect先理解“動態測試”DynamicTesterDynamic安全保障

–HP

WebInspect為安全 和高級安全測試業界領先的自動化應用安全測試解決方案對Web、WebServices應用進行安全檢測自動更新安全規則自動產生缺陷報告和詳細修復建議使用HPWebInspect的優勢對Web應用技術的廣泛支持AJAX、JavaScript、Flash、Silverlight、Web

Services等創建宏以記錄檢測步驟，實現重復性檢測的自動化同步掃描與審計和智能引擎同時啟動和管理多個掃描進程，從而增加檢測量掃描模型分析應用，獲取掃描配置設置建議，以提高掃描的效力和準確性自帶多種滲透檢測工具，從而對所發現的應用安全 進行再驗證以各種標準格式（HTML、PDF、RTF、XML、TXT以及XLS等格式）導出結果報告與測試管理平臺QC無縫集成與白盒應用安全測試工具相得益彰系統的檢測、預防和應用程序安全事件日志用戶場景：沒有安全測試，應用無法 ，上線后的 防護特征:Runtime

Application

Protection提供對WEB應用系統運行時刻的防護和 功能只針對Java、.net應用Runtime

Application

Logging向SIEM管理平臺記錄應用安全信息和用戶活動事件的日志實現與ArcSight

ESM集成優勢:防護和 功能優于W