Fortify_官方内部资料

Source: NIST
新的防御方案： Building Security In——构建安全的代码
没有捷径——必须在每一个开发周期巩固软件安全性
Security
新的防御方式在开发周期的运用
管理、检测和降低风险(SDLC)
在开发的初期解决安 全问题
安全运作中心 开发人员 管
监测和保护使用中的 应用软件
Traditional network/perimeter defenses
Malicious Insiders
Critical Software Automation Of Key Operational Processes
新的软件架构——软件的应用因为业务和功能的需要必打破传统的保护
层,直接与外面的系统交互
Fortify Software的安全产品中包括：
Fortify的源代码分析工具集 Fortify软件安全管理器 Fortify应用防卫管理器 Fortify安全测试跟踪器
Fortify 的安全产品
Fortify SCA
Source Code Security Audits
PLAN PLAN DESIGN DESIGN
Fortify Software Security Assurance Solution
研讨会 Building Security In
Fortify 中国:王 宏 hwang@fortify.com
会议主题
传统的软件安全防御方式 软件安全新的防御方式 Fortify产品及安全测试解决方案
Fortify ——软件安全的领导者
Professor, University of Maryland Author Skip Lists, FindBugs
Bill Joy
Partner, Kleiner Perkins Caufield & Byers Co-founder of Sun Microsystems
Biblioteka Baidu
Fred Schneider
安全测试人员
Build Server
从整个代码找出安 全问题，定下主 次， 然后解决问题
测试及验证应用软件
安全评审人員
Fortify Software—完整的软件安全解决方案
Fortify in Production Fortify in Information Security Fortify in Development
Avi Rubin
Professor, Johns Hopkins University Exposed US e-voting system vulnerabilities
Gary McGraw
CTO of Cigital “Voice of Software Security”
William Pugh
C/C++常见的漏洞
Buffer Overflow缓冲溢出 String Termination Error 字符错误的结束 Integer Overflow 整数溢出 Memory Leak 内存泄漏 Null Dereference 空指针的引用 Uninitialized variable 变量使用前未初始化 Unreleased Resource 未释放资源 Often Misused: Exception Handing ；Strings ; Authentication Unchecked Return Value 未检查返回值 Dead Code 死代码 Type Mismatch 类型不匹配 Resource Injection 资源注入 Insecure Temporary File 不安全的临时文件存放机密数据 System Information Leak 系统信息泄漏 Command Injection 命令注入 Insecure Compiler Optimization 不安全的编辑优化
Fortify 的安全方案—Fortify 360
Fortify SCA
安全运作中心
Fortify SCA Dev
专用的,强有力的源代码分析 管 开发人员
Fortify RTA
监测及保护运中的Web应用系统
FPR
安全测试人員
Fortify SCA
全面、准确地分析代码 Build Server
Fortify PTA
― Mary Ann Davidson
CSO, Oracle
领先解決方案
获奖产品支持整个开发周期 超过150项专利 最庞大的安全编码规则包
专业的安装部署
与Fortune100 企业及大型 ISVs 开发出來的最佳做法 由世界顶尖安全专家鉴定
Fortify----奖台上的胜利者
Fortify的主要客户
Fortify SCA的关键特点：
最庞大的安全编码规则包 跨层、跨语言地分析代码的漏洞的产生 C, C++, .Net, Java, JSP,PL/SQL, T-SQL, XML, CFML JavaScript, PHP, ASP, VB, VBScript 精确地定位漏洞的产生的全路径
支持不同的软件开发平台 Platform: Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX IDEs : Visual Studio, Eclipse, RAD, WSAD
Encryption Module
0% 1% 2% 2% 3% 15% 41%
Network Protocol Stack Other Communication Protocol Hardware Operating System Non-Server Applications
36%
Server Applications
使黑盒测试变成可化、使容修复
安全评审人員
Fortify SCAs
Fortify SCA
Source Code Security Audits
PLAN PLAN DESIGN DESIGN
Fortify PTA
Security Automation For QA
FUNCTIONAL TEST
Fortify RTA
Banking & Finance Infrastructure Telecom
Other Government
E-Commerce
Healthcare
国内客户
Fortify----拥有业界领级专家
Technical Leadership From World Experts in Security
领先的市场份额
全世界最大的10大银行的9家、大型IT基建供应商、大型独立软 体公司 支持市场上最流行、最多样化的编程語言
“Fortify is the clear winner for many reasons, including their superior analysis and reporting capabilities, and their understanding and support of how security fits into the software development lifecycle.”
2000
Internet Browsers & Social Engineering
1997
Increase Internet protocol attacks, MailBomb, SPAM etc
1994
CERT 2006年报告
传统的软件安全防御方式
Hackers Worms & Viruses
Outsourcing Legacy App Integration Web Facing Applications Employee Self-Service Connectivity w/ Partners & Suppliers
黑客（恶意的内部人员）使用软件
IDC数据统计：至 少75%的企业被成 功地攻击过。 而据CERT报告： 受攻击的企业中 55%攻击来自内部
Fortify PTA
Security Automation For QA
FUNCTIONAL TEST
Fortify RTA
Run-Time Protection
CODE
ACCEPTANCE TEST
DEPLOY
Fortify 360 Server
Software Security Metrics and Reporting
David Wagner
Professor, UC Berkeley Large scale systems, wireless, crypto security
Marcus Ranum
Researcher Co-inventor, proxy firewall
Fortify 软件安全漏洞研究
CWE ：美国安全漏洞辞典采用Fortify漏洞分类
Chief Scientist and Co-founder Software Security research, patents
Li Gong
MD, Microsoft, Beijing Java Security Model
Greg Morrisett
Professor, Harvard University Programming language technologies
Fortify 软件安全漏洞研究
CWE ：美国安全漏洞辞典采用Fortify漏洞分类
软件安全新的防御方式
软件安全问题的产生的根源： 如今的黑客攻击主要利用软件本身的安全漏洞，这些漏洞是由不 良的软件架构和不安全的编码产生的。
92% of reported vulnerabilities are in applications, not networks
SQL Injections Buffer Overflows Information Leakage Numerous other Categories……
人员
PCI Section 6.5
开放网络应用安全计划组织 (OWASP)公布了目前业界十大网络应用软件 安全漏洞: 1. Unvalidated Input 未验证的参数 2. Broken Access Control失效的访问控制 3. Broken Authentication and Session Management失效的帐户有会 话管理 4. Cross Site Scripting (XSS)跨站点脚本攻击 5. Buffer Overflows缓冲溢出 6. Injection Flaws命令注入漏洞 7. Improper Error Handling异常处理问题 8. Insecure Storage非安全存储 9. Denial of Service拒绝提供服务 10. Insecure Configuration Management非安全的配置管理
Run-Time Protection
CODE
ACCEPTANCE TEST
DEPLOY
Fortify 360 Server
Software Security Metrics and Reporting
1. 源代码白盒安全测试 2.完全自动化完成测试---- 省时 省力 3.最广泛的安全漏洞规则，多维 度分析源代码安全问题
Fortify in Testing
Fortify安全测试产品及解决方案
Fortify Software的目标：
避免企业所使用的软件中存在安全漏洞
Fortify Software的方法：
提高软件自身的安全防御能力
Fortify Software的解决方案：
解决软件开发过程中，软件开发人员、安全评审人员和项目管理 人员的通力配合的难题。
Professor, Cornel University Director, Information Assurance Institute
Matt Bishop
Professor, UC Davis Author, “Computer Security: Art and Science,”
Brian Chess
黑客攻击的演化方式
direct application attacks and Business Logic exploits.
Attack History
2008
Network protocols (DNS/TCP-IP) attacked
2004
Increase Application style attacks (SQL Injection, XSS etc)