Fortify代码安全测试工具在静态应用安全测试（SAST）方面针对典型问题的改进

Fortify代码安全测试工具作为行业内资深的老牌软件安全测试工具，可以同时支持静态代码扫描和动态代码扫描，本文我们讲述的主要是在静态代码扫描领域Fortify所面临的问题，以及最新的改进。

在应用安全领域，特别是静态应用安全测试（SAST）的视角下，在开发之初通过Fortify静态代码安全扫描发现的一系列难以处理的问题对开发人员来说是一个不小的困扰，往往会导致开发过程中复杂性和摩擦的增加。在这种情况下，开发人员往往会更倾向于选择轻量级的静态代码扫描工具，但轻量级的静态代码扫描工具发现的问题往往不够全面和深入。

于此同时，代码安全测试工具如何权衡误报和漏报也是一个非常典型的问题，误报会带来额外的工作量，但是漏报的安全风险也不容忽视，这是所有代码安全测试工具都面临的一个通用难题。

本文我们一起来看一下，针对这些问题Fortify有哪些改进，来帮助我们消除这些顾虑，同时提供解决方案，减轻扫描结果对开发人员工作流程的影响。

1、毋庸置疑的专业性

Fortify 静态代码扫描 凭借其卓越的研究基础，从一众 SAST 扫描仪中脱颖而出。Fortify的专业研究团队 Fortify Research 每一季度都会进行 Rulepack 更新，使 Fortify SAST 能够支持广泛的编程语言和框架。Fortify SAST 能够识别 815 个独特的漏洞类别，涵盖 100 多万个 API。这种全面分析水平大大超越了基本 SAST 工具的能力，为潜在漏洞提供了更全面的评估。

Fortify的方案不仅为用户提供工具，同时也努力确保客户不会陷入虚假的安全感中。在 OWASP 1.2b 基准测试中，Fortify SAST 的识别正确率达到100%，这有力证明了 Fortify SAST 的准确性、能够真正准确识别安全威胁。

2、全新算法，解决误报和漏报之间权衡难题

与 Fortify SAST 相关的一个批评意见是，扫描结果可能会产生过多的“噪音”。这种噪音可能来自大量的误报或漏报，可能增加开发流程的摩擦。

要解决误报问题，必须认识到所有 SAST 工具都会在误报和漏报之间权衡利弊。虽然最大限度地减少误报至关重要，但防止漏报也需要重视。轻量级的 SAST 工具可能无法深入挖掘复杂的漏洞，而 Fortify SAST 则能提供全面的分析。它提供先进的过滤选项，如针对内部部署的可见性和问题过滤器，以有效管理漏报。

代码审计人员在从扫描结果中过滤出重要发现、消除“噪音”方面发挥着关键作用。然而，传统的审计方法可能成为应用程序安全的瓶颈，往往无法满足开发人员的快速需求。

为此，Fortify 与安全分析团队的数据科学家合作开发了尖端的机器学习算法。Audit Assistant 2.0中的这些算法，是通过 Fortify on Demand（FoD）历史上数以亿计的匿名 SAST 扫描的代码审计结果训练出来的。这些创新大大缩短了分流所需的时间，为迅速解决问题提供了可行的见解。

3、创新的漏洞管理技术，同时确保高效和安全

Fortify SAST 用于管理大量漏洞扫描结果的创新技术，对于保持高效的工作流程和确保应用程序安全不会阻碍开发过程至关重要。下面是具体的解决方案：

1）使用快速访问调整扫描深度

快速访问功能使开发人员能够根据应用程序的具体要求调整静态测试的深度。通过为开发人员提供调节扫描深度的能力，快速访问功能可实现更动态的方法维护应用程序安全。

例如，在早期开发阶段或对于不那么关键的应用程序，开发人员可以选择不太深入的扫描，这样可以将扫描过程加快50%。这种灵活性可确保将更深入、更全面的扫描保留给关键的开发阶段，如候选版本或高风险应用程序，从而提高扫描彻底性与开发敏捷性之间的平衡。这种方法不仅能提高效率，还能显著减少漏洞发现的数量，让团队集中精力处理最相关的问题。

2）利用智能视图简化分流

代码审核工作台中提供的智能视图可对应用程序代码中的数据流问题进行复详细的可视化表示。

这一功能大大简化了识别和了解漏洞占用路径的过程。智能视图清晰、直观地显示数据如何在系统中移动以及潜在的安全漏洞可能发生在哪里，从而使开发人员和安全分析人员能够迅速定位重大漏洞，并制定最佳修复或分流方法。这一功能在处理大量真正漏洞时尤为重要，因为它有助于根据潜在影响对问题进行优先排序，确保最重大的漏洞得到及时处理。智能视图提供的可视化情境有助于做出更明智的决策，简化分流流程，减少保护应用程序安全所需的时间。

3）Mobb 集成实现自动修复

Fortify 与 Mobb 的合作为解决常见漏洞引入了一种创新的自动化方法。Mobb 的技术与 Fortify SAST 无缝集成，利用自动化简化修复过程，允许开发人员通过战略性代码变更同时解决多个问题。

此次合作的突出特点之一是 Mobb 的 PowerUp 功能，该功能可指导开发人员对已识别的漏洞进行高效修复。这不仅加快了修复过程，还提高了修复的质量，确保漏洞不仅得到修补，而且还能使应用程序在未来避免出现类似问题。Mobb 的集成标志着 Fortify SAST 在漏洞管理中更加积极主动、进一步减少了开发工作流程的干扰方面，使开发人员能够在不影响工作效率的情况下保持高安全标准。

以上就是Fortify代码安全测试工具在静态应用安全测试领域，针对提升开发流程效率和提高应用安全性所做出的最新努力。领先的安全扫描能力、创新的算法、全新的漏洞管理、快速访问、智能图表以及与 Mobb 的集成。这些创新使开发人员和安全团队能够在坚持最高安全标准的同时保持高效的工作流程。如需Fortify试用可私信我。

（谢绝转载，更多内容可查看我的主页）