Fortify для Sonatype

Поддерживаемые продукты:

Fortify Static Code Analyzer

Fortify Static Code Analyzer расширяет возможности Sonatype и позволяет создавать безопасный код. Sonatype сравнивает заголовки компонентов открытого кода со списками Национальной базы данных уязвимостей (NVD). Решение использует технологии машинного самообучения и искусственного интеллекта, а также обладает функциями ручного управления для локализации и идентификации уязвимостей в соответствии со сторонними проектами с исходным кодом, информации с GitHub, специализированными веб-сайтами, NVD и прочими источниками данных об уязвимостях.

Ресурсы

Fortify Software Security Center

Интегрируемый компонент Sonatype Nexus Lifecycle содержит специальный модуль контроля синтаксиса кода в Software Security Center и средство взаимной интеграции результатов из Sonatype Nexus Lifecycle и Fortify Static Code Analyzer (SCA), которое позволяет получить полную картину уязвимостей приложения.

Fortify on Demand

Использование Sonatype позволяет одновременно проводить SAST-тестирование и SCA-анализ в Fortify on Demand. Решение поддерживает технологии Java, .NET, JavaScript и Python, совмещая результаты в единой платформе для анализа, формирования отчетов и устранения проблем. Кроме того, оно контролирует характерные признаки 65 миллионов компонентов и выявляет на 70 % больше уязвимостей, чем содержится в базе данных NVD.

Ресурсы
Fortify on Demand — сканирование открытого кода с помощью Sonatype

SourceAndLibScanner

SourceAndLibScanner имеет интерфейс командной строки для выведения результатов сканирования приложений Java с помощью Fortify Static Code Analyzer и Sonatype единой командой. Эта служебная программа позволяет встраивать команды на единоразовое или многократное сканирование в процесс сборки приложения. Кроме того, с ее помощью можно загружать результаты анализа в Micro Focus Fortify Software Security Center.

Возможности SourceAndLibScanner:

  • сканирование кода с помощью Fortify Static Code Analyzer и Sonatype, загрузка результатов из Fortify и Sonatype в Fortify Software Security Center;
  • сканирование кода с помощью Fortify Static Code Analyzer и Sonatype, загрузка результатов из Fortify в Fortify Software Security Center, а результатов Sonatype — в локальную систему Lifecycle (Nexus IQ Server);
  • сканирование кода в сторонних компонентах с помощью Fortify Static Code Analyzer или Sonatype.

Варианты сканирования:

  • Fortify Static Code Analyzer: сканирование кода на наличие уязвимостей с помощью автоматического встроенного средства создания пакетов или нативных команд Fortify Static Code Analyzer;
  • Sonatype: сканирование компонентов с открытым кодом на наличие уязвимостей. Технология создана Sonatype специально для пользователей Fortify или локальных версий Nexus IQ Server.
Ресурс
Общие ресурсы:
Fortify SourceAndLibScanner (для совмещения результатов сканирования Fortify Static Code Analyzer и Sonatype)

О Sonatype

Интегрированная платформа компании Sonatype для контроля открытого кода (Nexus) позволила более чем 1000 организаций и 10 миллионам пользователей ускорить внедрение инноваций и повысить уровень безопасности приложений. Подробнее о Sonatype.

Sonatype
release-rel-2021-1-2-5675 | Tue Jan 12 21:44:14 PST 2021
5675
release/rel-2021-1-2-5675
Tue Jan 12 21:44:14 PST 2021