> 소스코드보안솔루션 >
Fortify
Fortify SCA는 애플리케이션 보안취약점 정적진단, 소스코드 취약점 진단 솔루션
Fortify WebInspect는 애플리케이션 보안취약점 동적진단, 웹취약점 스캐너
Fortify SSC는 SCA+WebInspect의 진단결과를 통합 관리하고 Hybrid한 진단 결과를 도출하는 통합관리 솔루션
Fortify SCA는 애플리케이션 보안취약점 정적진단, 소스코드 취약점 진단 솔루션
Fortify WebInspect는 애플리케이션 보안취약점 동적진단, 웹취약점 스캐너
Fortify SSC는 SCA+WebInspect의 진단결과를 통합 관리하고 Hybrid한 진단 결과를 도출하는 통합관리 솔루션
Fortify SCA(Static Code Analyzer)의 특징
글로벌 애플리케이션 보안(시큐어코딩) 리더 제품
-
- MICRO FOCUS Fortify SCA는 유일하면서 강력한 브랜드
폭 넒은 개발 언어에 대한 포괄적인 SAST(Static Application Security Testing) 기능 제공
- 세계 최고의 모바일 소스 코드 분석 기술 보유
iOS, Android 애플리케이션에 대한 세계 최고의 AST 기능 제공
- IAST (Interactive Application Security Testing) 기술 보유
업계 유일 SAST, RAST, DAST를 통합 기술인 혁신적인 IAST 기능 제공
- MICRO FOCUS 고유의 애플리케이션 보호 기술 제공
RASP(Runtime Application Self Protection) 기술을 통해, 전통적인 애플케이션 보호 솔루션없이 자체 보호 기능 제공
세계 최고의 소프트웨어 보안 연구 조직
-
- 2,000여명의 보안 전문가로 구성된 세계 최고의 연구 조직
- 주기적인 시큐어코딩 룰 및 개발 언어 분석 기능 업데이트
- OWASP TOP 10, 모바일 TOP 10, IOT TOP 10 등 프로젝트 멤버 및 통계 자료 제공
- 분기 단위 업데이트 지원(평균 10~20여개 취약점 및 1,000여개 API 업데이트)
개발 프로세스에 따른 유연한 적용
-
- 시큐어코딩 진단 단계 구현 – 보안 승인 테스트
- SDLC 보안 – 보안이 고려된 개발(비용 절감)
국내외 엔터프라이즈 전반에 적용된 검증된 솔루
-
- 제1,2 금융권 최다 도입
- 텔레콤사 최다 도입
- 그룹사 시큐어코딩 표준 선정
- 그룹사 최다 도입
- 제조, 유통, 전자상거래, 포털, 소프트웨어 개발 등 다양한 사업 분야 최다 도입
시큐어코딩 솔루션 - Fortify SCA(Static Code Analyzer)
- 개발 프로세스와 연계하여 “시큐어코딩 진단 프로세스”로 사용
- 취약점 조치가 용이하도록 개발자 관점 정보(소스 파일, 라인, 함수, 로직) 제공
- 업계 최다 개발 언어 및 모바일 언어 완벽 지원
Adobe®, ASP.NET, C/C++, C#, Classic ASP, HTML(HTML5), JAVA, JAVA Script/AJAX, JSP, PHP, PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, Flex, 환경(Apache, J2EE, EJB, .NET, Weblogic 등), Android JAVA, iOS Objective-C, 프리미엄언어(COBOL, ColdFusion, Python, ABAP)
- 업계 최다 IDE Plug-ins (VS.net, Eclipse, IBM WSAD/RAD, Borland JBuilder) 지원
- 국내외 주요 컴플라이언스 완벽 지원
OWASP Top 10, OWASP Mobile Top 10, 안행부 SW 보안 약점/안드로이드 가이드, PCI, CWE, SANS
시큐어코딩 관리 솔루션 - Fortify SSC(Software Security Center)
- 온라인 기반 관리 서버(결과 이력 관리, 보고서, 룰 관리 및 업데이트, 사용자관리 등)
- 취약점 기반 담당자간 온라인 협업
모의 침투 테스트 솔루션 - Fortify WebInspect, WebInspect-Agent
- WebInspect : 웹 소프트웨어 실행 시 클라이언트 관점에서 취약점 진단(침투테스트)
- WebInspect-Agent : 웹 애플리케이션 실행 시 내부 로직을 점검하여 취약점 진단
- Fortify SCA와 연계하여 하이브리드 분석 제공
사례1. 복잡한 개발 환경
“다양한 OS, 개발언어, 개발툴 연동 시큐어코딩 진단”
사례 개요
| 구분 |
내용 |
| 고객사 |
S사 - K그룹 자회사, 사업영역(VAN사업, Smart Card 사업, RFID 사업 |
| 요구사항 |
- 다양한 개발 플랫폼 적용 - AIX, Linux, Windows, Mac
- 다양한 개발 언어 적용 – 카드단말기(ARM C), 모바일 서비스(Android/iOS), 업무 프로그램(Visual C, JAVA)
- 다양한 개발 툴 연동 – Eclipse, Visual Studio, 울트라에디터 등
- 개발 서버에 부하를 없도록 구성
|
| 솔루션 |
- 1)Fortify SCA는 다양한 플랫폼, 개발 언어, 개발 툴 연동을 지원함
- 2)각 개발 환경에 Fortify SCA를 설치하여 컴파일 시 mbs파일(데이터) 생성 후, 이 파일을 Fortify SCA가 설치된 별도 서버로 전송하여 점검 수행
|
사례2. 모바일 소프트웨어 보안성 강화
“모바일 앱 시큐어코딩 진단”
사례 개요
| 구분 |
내용 |
| 고객사 |
I텔레콤 |
| 요구사항 |
- 고객 서비스 및 내부 업무용 모바일 소프트웨어(Android JAVA, Objective-C) 보안 강화
- 모바일 컴플라이언스 분석 지원(OWASP 모바일 TOP 10, 안드로이드 안행부 안드로이드 가이드 기준 지원)
|
| 솔루션 |
- 1)Fortify SCA는 OWASP 모바일 Top 10, 안행부 안드로이드 가이드를 지원함
- 2)각 모바일 소프트웨어 개발 환경에 Fortify SCA를 설치 및 분석 수행
- 3)모바일 플랫폼에 실질적인 보안 취약점 분석 및 조지 가이드 제공
|
사례3. 엔터프라이즈 개발 환경 보안성 강화
"클라우드 시큐어코딩 진단 시스템 구축"
사례 개요
| 구분 |
내용 |
| 고객사 |
A은행 |
| 요구사항 |
- 차세대 프로젝트 개발자 800명이 개발하는 소스 코드를 매일 분석
|
| 솔루션 |
- 1)Fortify SCA는 클라우드(분산 처리) 분석 구성을 지원함
- 2)Fortify SCA를 클라우드 분석 시스템으로 구성하여 각 개발 환경의 분석 요청을 자동으로 분산 처리
|
사례4. 개발 프로세스(형상관리) 연동 보안성 강화
"개발 프로세스와 연동한 시큐어코딩 진단 프로세스 구축"
사례 개요
| 구분 |
내용 |
| 고객사 |
S생명 |
| 요구사항 |
- 이관 시 소스 코드 분석, 일 1회 전체 소스 코드 분석 후 결과를 참조하여 이관 여부 통제하도록 내부 시스템 연동
|
| 솔루션 |
- 1)연동 요구사항 분석 및 구현 방안 설계(커스터마이징 포함)
- 2)이관 및 일 1회 소스 코드 분석하도록 구축, 결과를 XML로 생성하여 이를 내부 시스템에서 참조하도록 연동
|
사례5 정적, 동적 분석 결과 통합
"하이브리드 분석 시스템 구축"
사례 개요
| 구분 |
내용 |
| 고객사 |
D해상화재보험 |
| 요구사항 |
- 소스 코드 및 웹 스캐너 분석 통합 결과 산출 및 개발팀 제공
|
| 솔루션 |
- 1)개발 단계 별 Fortify SCA, Fortify WebInspect, WebInspect-Agent 적용
- 2)각 분석 결과를 통합하여 상관 관계가 검토된 하이브리드 결과를 개발팀에 제공
|
사례6. 시큐어코딩 정책 커스터마이징
"하이브리드 분석 시스템 구축"
사례 개요
| 구분 |
내용 |
| 고객사 |
C유통 그룹사 |
| 요구사항 |
- 취약점에 대한 우선 순위 별 식별 및 조치할 수 있도록 시큐어코딩 정책 커스터마징 적용
|
| 솔루션 |
- 1)취약점에 실행 가능성, 위험도에 따른 시큐어코딩(보안) 정책 커스터마이징 지원
- 2)우선 순위가 높은 취약점부터 순차적으로 조치할 수 있도록 구축
|