綠色解決方案

程式碼安全

程式碼安全

傳統的網路安全主要是針對網路及系統層面的防禦,利用防火牆與IPS等設備來防堵惡意存取的侵入。但惡意侵入除了透過網路架構上的缺陷達到入侵的目的外, 網路犯罪也會主動找出並利用企業應用程式中的漏洞來竊取資料、智慧財產以及機密資訊。

應用系統的使用單位需要的應用程式安全解決方案必須涵蓋整個開發階段,並在應用程式投入使用前進行分析,以監控潛在的問題。且程式碼安全解決方案必須能夠測試網路應用程式是否存在可能被利用的漏洞、能夠分析程式碼、透過協調工作來幫助管理安全和開發管理流程。 這些方案還必須滿足容易使用及部署的應用程式安全測試的特性。需要開發者在寫程式的同時就做好把關。

程式碼安全掃描工具分為靜態應用程式安全測試 (SAST)動態應用程式安全測試 (DAST)兩大類。 靜態應用程式安全測試 (SAST)又稱白箱測試,可掃描應用程式的原始程式檔,精準地找出安全問題的根本原因,並幫助修復其中暗藏的安全漏洞。 動態應用程式安全測試 (DAST)又稱黑箱測試,工具會先掃描應用系統並了解結構,再以各種駭客手法嘗試存取系統內的網頁。

凌羣代理的MicroFocus Fortify SCA可以有效的進行靜態應用程式安全測試(SAST)。Fortify SCA 支援各種開發環境、語言、平台和架構,可在混合的開發和生產環境中執行安全檢查。


  • 25 種程式設計語言
  • 超過 911,000 個元件級 API
  • 可偵測超過 961 個弱點類別
  • 支援所有主要平台、建構環境和開發IDE
  • 2022年Gartner評鑑Fortify SCA為Leader象限(Application Security Testing類產品)

資料來源 :

而Micro Focus的Fortify Webinspect是一套完整的動態應用程式掃描工具(DAST),可對所有弱點類別進行全面性的稽核,進而蒐取 (crawl) 現代新架構和Web技術。 支援最新的Web技術,包括HTML5、JSON、AJAX、JavaScript 等。


  • 能夠掃描單頁應用程式 (SPA)可測試針對行動裝置最佳化的網站以及原生的 Web 服務呼叫。
  • 提供更多詳細資訊,以便開發人員可以更快修復弱點 (程式碼詳細資訊,並透過 Fortify WebInspect Agent 技術將堆疊追蹤資訊傳回弱點)。
  • 軟體安全研究團隊將先進技術的研究結晶轉化為安全情報。

資料來源 :