도전과제

- 보안사고의 84%가 소프트웨어에서 발생

- 모바일 소프트웨어 보안취약점 급증

- IoT(사물인터넷)를 통한 해킹

- 소프트웨어 시큐어 코딩 의무화

Fortify 특장점

소스코드 보안 취약점 진단 ‘De Facto’ 표준 제품

폭 넓은 개발 언어에 대한 포괄적인 SAST(Static Application Security Testing) 기능 제공

500개 이상 보안카테고리 및 23개 개발언어(Adobe, ASP, .NET, C, C++, C#, ASP, COBOL, HTML, Java, JavaScript, JSP, PHP, PL/SQL, MS T-SQL, VB, XML, Python 등)

세계 최고수준의 Mobile Application 개발 언어 분석 지원

750,000개 이상의 취약점 점검 패턴 보유

사물인터넷 End-To-End 보안 진단 기술 보유

OWASP TOP 10 및 CWE등 국제 규격 항목 수용

업데이트 서버를 통한 온라인, 패치파일 배포를 통한 오프라인 룰 업데이트

사용자 정의 룰 작성 지원

리포팅 기능을 이용하여 보안 테스트 결과 및 기록을 손쉽게 관리

Fortify Solution

SCA(Static Code Analyzer)

정적분석을 통한 소스코드 레벨 보안 취약점 스캐닝

Security Assistant

시큐어코딩을 위한 소스코드 실시간 경량화 분석 지원

WebInspect

동적분석을 통한 Running Application 대상 보안 취약점 스캐닝

SSC(Software Security Center) Server

분석 결과 통합관리 및 보안 정책 배포

Fortify 도입사례

A생명

요구사항

• 이관 시 소스 코드 분석, 일 1회 전체 소스 코드 분석 후 결과를 참조하여 이관 여부 통제하도록 내부 시스템 연동

솔루션 

• 연동 요구사항 분석 및 구현 방안 설계(커스터마이징 포함)

• 이관 및 일 1회 소스 코드 분석하도록 구축, 결과를 XML로 생성하여 이를 내부 시스템에서 참조하도록 연동

D해상화재

요구사항

소스 코드 및 웹 스캐너 분석 통합 결과 산출 및 개발팀 제공

솔루션 

개발 단계 별 HP Fortify SCA, HP WebInspect, HP WebInspect-Agent 적용

각 분석 결과를 통합하여 상관 관계가 검토된 하이브리드 결과를 개발팀에 제공

S사 - K그룹 자회사, 사업영역(VAN사업, Smart Card 사업, RFID 사업)

요구사항

다양한 개발 플랫폼 적용 - AIX, Linux, Windows, Mac,

다양한 개발 언어 적용 – 카드단말기(ARM C), 모바일 서비스(Android/iOS), 업무 프로그램(Visual C, JAVA),

다양한 개발 툴 연동 – Eclipse, Visual Studio, 울트라에디터 등, 개발 서버에 부하를 없도록 구성

솔루션 

HP Fortify SCA(SCA(Static Code Analyzer)는 다양한 플랫폼, 개발 언어, 개발 툴 연동을 지원함

각 개발 환경에 HP Fortify SCA를 설치하여 컴파일 시 mbs파일(데이터) 생성 후, 이 파일을 HP Fortify SCA가 설치된 별도 서버로 전송하여  점검 수행

 

Fortify 소개

HPE Fortify는 소스코드 정적분석 및 어플리케이션 동적분석을 통해 소프트웨어의 잠재적 보안 및 품질 취약점을 탐지합니다. 분석결과를 통해 위험도와 실행가능성이 높은 보안취약점을 빠르게 식별하고 우선적으로 수정하여 전체 개발비용과 소요시간을 절감할 수 있습니다.