12 octubre 2012

Probando Fortify SCA

Últimamente he estado viendo HP Fortify SCA, una herramienta para hacer auditorias de código fuente dentro de las soluciones de HP para gestionar la seguridad en el ciclo de desarrollo seguro. 

Fortify, considerada líder en este campo, fue adquirida en 2010 por HP para integrarse con el resto de productos.

Pese a que existen otras aplicaciones, tanto opensource/freeware como comerciales, aún están bastante lejos de llegar al nivel de madurez de SCA.

Haciendo pruebas y evaluando productos, probé a revisar el abandonado y triste front-end web escrito en PHP de OSSEC, que por cierto, desde que fue adquirido por Trend Micro, lo están dejando morir ya que ellos venden una consola mucho más profesional.. En unos minutos encontré un cross-site-scripting reflejado, al tener una validación muy pobre de un dato de entrada de un método POST con una expresión regular que debería incluir el inicio "^" y final de cadena "$".


La pantalla general es bastante sencilla, en la que destacan tres partes principales: las vulnerabilidades a la izquierda, el código fuente en el centro y la descripción, recomendación o gráfico de su flujo en la parte inferior central.



El dibujo del flujo de datos es posiblemente una de las características que más impresionan y muestran el potencial de la utilidad.


Las vulnerabilidades pueden ordenarse en base a distintas categorías y tipos:


De igual forma los reportes se pueden generar en distintos formatos y contenidos.


También es posible guardar los análisis e integrarlos en una consola central llamada Software Security Center.

12 comments :

t13rn0 dijo...

Creo que fortify no cumple las expectativas de un analisis de codigo.
Probando otras herramientas open source/comerciales me quedo con la herramienta proporcionada por la empresa Buguroo Offensive security expectacular

anon dijo...

Nada cumple las expectativas de un análisis de código. Pero lo que más se acerca es SCA.


¿Qué no te gustó de Fortify? ¿Que ventajas tiene la de Buguroo? y... lo que me pregunto siempre... ¿por qué se llaman Offensive, si venden una herramienta de análisis de código? ¡¡¡Tendré que preguntarles a ellos!!!

anon2 dijo...

¿Podrías decir dónde trabajas como system administrator? :)

unomismo dijo...

En buguroo seguro!! LOL

cruj13nt3 dijo...

Que un tio como este se meta aqui a trollear ya es el colmo, un tio que lo mejor que sabe hacer es lloriquear por tuitter y que hace 1 año pensaba que telnet era un personaje de la última de transformers

Jorge Vespa dijo...

Este software es Gratis? De donde se lo puede bajar? Gracias.

cucurril dijo...

No la conocía, la probaré :)

☠ Dani Martinez ☠ dijo...

Te has dejado un muy buen software para analizar código PHP como es rips http://sourceforge.net/projects/rips-scanner/ yo lo he usado y sin duda es cojonudo. Además de la mención a tururoo y el boyscout, que no seré yo quien lo mencione pero como luego os enfadáis por las chorradas del orgullo patrio, el guasap, los holandeses y el conocimiento que se genera aquí, pues vas y hablas de un soft de fuera, pero es tu post y te lo f****s cuando quieras :-) Saludos y buenos alimentos!!!

t13rn0 dijo...

Creo que debes aprender a respetar las opiniones de los demas y luego a escribir.

Quien rie el ultimo rie mejor. acuerdate alguna vez te sera util.

anonymous dijo...

En mi opinión (y he probado varias herramientas: IBM AppScan SourceCode, Fortify, bugscout, etc) como bien apunta el post es de lo mejorcito que hay en el mercado actualmente.

t13rn0 cuentame las ventajas de bugscout, ¿su gestión de vulnerabilidades? ¿el gráfico de flujo que nunca sale completo? ¿el esquema de traza que tampoco es completo? ¿Los falsos positivos?

Personalmente tu elección no me parece adecuada.

Just 4 Fun dijo...

Las opiniones todas son respetables, las trolleadas, son eso trolleadas y no merecen ningun respeto. Ciertamente el tiempo pone a cada uno en su lugar

noname dijo...

Es interesante, pero lo que a mi me sorprende es la aparente ausencia de competencia en este sector. Las alternativas que actualmente tengo encima de la mesa es OpenSource (que lo tengo descartado por estrategia corporativa), HP o IBM.
Habeis tenido alguna experiencia o conoceis algun otro fabricante con representación local en España?
Os dejo lo que la Wikipedia dice al respecto, que no es mucho:
http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis#.NET