* Análisis estático: Este es el núcleo de Fortify. Analiza el código fuente, el bytecode y los binarios sin ejecutar realmente la aplicación, identificando posibles debilidades de seguridad basadas en reglas y patrones predefinidos. Esto permite la detección temprana de vulnerabilidades antes de alcanzar la producción.
* Soporte de lenguaje amplio: Fortify admite una amplia gama de lenguajes de programación, incluidos Java, .NET, C ++, C#, PHP, JavaScript y más. Esto lo hace adaptable a diversos entornos de desarrollo.
* Detección integral de vulnerabilidad: Identifica un amplio espectro de fallas de seguridad, abarcando:
* fallas de inyección: Inyección de SQL, secuencia de comandos de sitios cruzados (XSS), inyección de comandos, etc.
* Forgery de solicitud de sitio cruzado (CSRF)
* Vulnerabilidades de gestión de autenticación y sesión
* Problemas de validación de datos y desinfección
* fallas de control de acceso
* Errores lógicos comerciales
* Debilidades de seguridad de la API
* Problemas de criptografía
* Guía de priorización y remediación: Fortify no solo identifica vulnerabilidades; También los prioriza en función de la gravedad y la probabilidad de explotación, lo que ayuda a los desarrolladores a centrarse primero en los problemas más críticos. Proporciona consejos detallados de remediación y, a menudo, vínculos con las mejores prácticas y ejemplos de seguridad relevantes.
* Integración con herramientas de desarrollo: Fortify se integra con varios IDE (entornos de desarrollo integrados) y tuberías de CI/CD (integración continua/entrega continua), lo que permite una integración perfecta en los flujos de trabajo existentes. Esto permite las pruebas de seguridad automatizadas como parte del proceso de compilación.
* Informes y paneles: Ofrece informes integrales y paneles que proporcionan una visión general de la postura de seguridad de la aplicación, el seguimiento del progreso a lo largo del tiempo e identificando las tendencias en los tipos de vulnerabilidad.
* Análisis de composición de software (SCA): Muchas ofertas de Fortify incluyen capacidades SCA, que analizan los componentes de código abierto utilizados en una aplicación, identificando vulnerabilidades conocidas en esas bibliotecas y marcos. Esto es crucial para administrar el riesgo de terceros.
* escaneo de aplicaciones web: Si bien es principalmente una herramienta SAST, algunas ofertas de Fortify pueden incluir capacidades de pruebas de seguridad de aplicaciones dinámicas (DAST) o pruebas de seguridad de aplicaciones interactivas (IASST) para complementar su análisis estático.
En resumen, las características principales de Fortify se centran en proporcionar un enfoque integral, integrado y automatizado para las pruebas de seguridad de aplicaciones, lo que permite a los desarrolladores crear un software más seguro. Las características específicas disponibles pueden variar según el producto Fortify específico y las licencias compradas.