Новая версия Fortify: реальный «shift left» в процессах безопасной разработки

В конце 2020 года вышла новая версия Micro Focus Fortify — решения для построения процессов безопасной разработки. В ней появился функционал для динамического сканирования и анализа исходного кода на наличие уязвимостей. Таким образом, новая версия Fortify теперь объединяет в себе встроенные возможности статического и динамического анализа. Как известно, для современной организации, внедряющей процесс безопасной разработки, самым эффективным подходом на сегодня является «сдвиг влево» — смещение анализа безопасности исходного кода с финальных стадий на ранние этапы разработки: чем быстрее разработчик обнаружит уязвимости в исходном коде, тем быстрее и легче он сможет их исправить. Платформа Software Security Center (SSC) Server, составляющая ядро решения Fortify, позволяет выявлять уязвимости, не выходя из контекста разработки, — практически сразу после того, как программист создает или обновляет очередной фрагмент кода, давая разработчику возможность быстро внести в него необходимые изменения и двигаться дальше. «Сдвиг влево» в процессах безопасной разработки — один из ключевых приоритетов Micro Focus в сегменте продуктов, предназначенных для процессов DevOps, Agile и CI/CD, и SSC Server — очень важный элемент их автоматизации. Благодаря ему Fortify может эффективно встраиваться в процессы безопасной разработки. На семинаре мы представим вам пример подобной интеграции с решением Gitlab. Fortify позволяет интегрироваться и с внешними системами сканирования. Результат такой синергии с решениями компании Sonatype также будет представлен на семинаре. Наконец, мы продемонстрируем интеграцию Fortify с платформой компании Secure Code Warrior. С ее помощью разработчик, столкнувшийся с уязвимостью, получает возможность пройти быстрое обучение и понять, что можно сделать с этой самой уязвимостью.