O software Fortify, agora parte do Micro Focus, é uma solução estática de teste de segurança de aplicativos (SAST). Seus principais recursos giram em torno da identificação e mitigação de vulnerabilidades de segurança em aplicativos de software em todo o Software Development Lifecycle (SDLC). Os principais recursos incluem:

* Análise estática: Este é o núcleo da fortificação. Ele analisa o código-fonte, o bytecode e os binários sem realmente executar o aplicativo, identificando possíveis fraquezas de segurança com base em regras e padrões predefinidos. Isso permite a detecção precoce de vulnerabilidades antes de atingirem a produção.

* Suporte de linguagem ampla: A Fortify suporta uma ampla gama de linguagens de programação, incluindo Java, .NET, C ++, C#, PHP, JavaScript e muito mais. Isso o torna adaptável a diversos ambientes de desenvolvimento.

* Detecção abrangente de vulnerabilidade: Ele identifica um amplo espectro de falhas de segurança, abrangendo:
* Falhas de injeção: Injeção SQL, Scripts Cross-Sites (XSS), injeção de comando, etc.
* Solicitação de sites cruzados (CSRF)
* Autenticação e vulnerabilidades de gerenciamento de sessão
* Problemas de validação e higienização de dados
* Falhas de controle de acesso
* Erros de lógica de negócios
* Fraquezas de segurança da API
* problemas de criptografia

* orientação de priorização e remediação: O Fortify não identifica apenas vulnerabilidades; Também os prioriza com base na gravidade e na probabilidade de exploração, ajudando os desenvolvedores a se concentrarem primeiro nos problemas mais críticos. Ele fornece conselhos detalhados de remediação e geralmente links para as melhores práticas e exemplos relevantes de segurança.

* Integração com ferramentas de desenvolvimento: A Fortify se integra a vários pipelines IDEs (Ambientes de Desenvolvimento Integrado) e CI/CD (Integração Contínua/Entrega Contínua), permitindo a integração perfeita nos fluxos de trabalho existentes. Isso permite testes de segurança automatizados como parte do processo de construção.

* Relatórios e painéis: Ele oferece relatórios e painéis abrangentes que fornecem uma visão geral da postura de segurança do aplicativo, rastreando o progresso ao longo do tempo e identificando tendências nos tipos de vulnerabilidades.

* Análise de composição de software (SCA): Muitas ofertas fortificadas incluem recursos da SCA, que analisam os componentes de código aberto usados ​​em um aplicativo, identificando vulnerabilidades conhecidas nessas bibliotecas e estruturas. Isso é crucial para gerenciar o risco de terceiros.

* Scanning de aplicativos da web: Embora principalmente uma ferramenta SAST, algumas ofertas fortificadas possam incluir recursos dinâmicos de teste de segurança de aplicativos (DAST) ou IAST (Interactive Application Security Testing) para complementar sua análise estática.


Em resumo, os principais recursos da Fortify se concentram em fornecer uma abordagem abrangente, integrada e automatizada para testes de segurança de aplicativos, permitindo que os desenvolvedores construam software mais seguro. Os recursos específicos disponíveis podem variar dependendo do produto Fortify específico e do licenciamento adquirido.