DevSecOps 
Fortify - Sécuriser vos logiciels de leur production à leur exploitation
- Développez des pratiques pour créer et exploiter des logiciels plus sûrs - pensez SecDevOps
Résumé corporate
Le saviez-vous?
- Plus de 84% des failles de sécurité se produisent au niveau applicatif (rapport du Gartner Magic Quadrant)
- Les vulnérabilités critiques sur les applications web concerne t plus de la moitié des applications en production chaque jour (rapport Micro Focus février 2015),
- 52 % des applications web présentent des failles avec la validation des entrées, des failles de type XSS (Cross Site Scripting), des vulnérabilités de type "injection SQL",
- 33 % des applications ne sont jamais testées contre les failles de sécurité.
Et vous ?
Démarche
SAST - Test Statique du code de vos applications
Tout ce que vous considérez écrire peut être raconté comme une histoire.L'analyse statique de code (SAST) permet la recherche de vulnérabilités dans votre code source. L'un des bénéfices consiste à identifier très précisément les lignes de code qui peuvent être vulnérables à des attaques.
Toutefois, les analyses statiques (SAST) ne permettent pas de savoir ce qui se passera au runtime, lorsque l'application fonctionne en conditions réelles. Si vous développez dans un langage particulier (par exemple C++), il vous faudra un outil capable de scanner votre code source.
DAST - Test Dynamique de vos applications
L'analyse dynamique de sécurité (DAST) permet de trouver les vulnérabilités dans un code en fonctionnement. L' un des bénéfices de cette approches est de tester l'application en condition réelle, et de tester des vulnérabilités potentiellement utilisées par des attaquants.
IAST - Test de sécurité interactif de vos applications
Un test interactif d'application fonctionnera typiquement en instrumentant votre application (avec un agent) qui analysera votre application en fonctionnement. Cette solution apporte des éléments complémentaires à l'analyse dynamique de type DAST, en permettant de savoir de manière sûre l'origine d'une vulnérabilité.
RASP - Protection des applications en fonctionnement
La protection automatique des applications (RASP) permet de prévenir et logger des attaques qui se passeraient au niveau de l'application. Elle permet aussi d'empêcher des attaques et -à la manière d'un WAF (Web Application Firewall) - cela permet de protéger chaque application, même si cette dernière est vulnérable
Ce n'est pas une technologie de test mais bien une technologie de protection lors du fonctionnement des applications.
SCA - Développez sécurisé
Solution transparente et intégrée à votre environnement actuel pour sécuriser vos développements - Demandez une présentation de SCA
Prise en charge des langages de programmation de pointe
Analysez le code source écrit par les développeurs dans leurs langages de programmation favoris. Prenez 25 langages en charge, dont Java, C#, C, C++, Swift et PHP.
Dénichez davantage d'erreurs, corrigez-les plus facilement et créez de meilleures applis !
Soyez sûr de l'efficacité optimale de votre logiciel : dénichez davantage d'erreurs, réduisez le nombre de faux positifs, soyez mieux informé et profitez des recommandations correctives.
Obtenez des résultats en quelques minutes !
Accélérez vos opérations DevOps en obtenant les résultats d'analyse en quelques minutes. Éliminez tout besoin d'analyse partielle ou incrémentielle, susceptible de ne pas voir certains problèmes critiques .
« Nous l'intégrons à cet outil ! »
Servez-vous des outils qu'utilisent déjà les développeurs ! Les intégrations, par exemple environnements IDE, outils de versions, référentiels de code, suivi des bogues, systèmes de tickets et une API extensible, simplifient plus que jamais la sécurité des applications.
Recherche et support de pointe
Soutenu par la plus vaste équipe de recherche jamais dédiée à la sécurité des applications. Détecte 763 catégories différentes de vulnérabilités, dans 25 langages de programmation et plus de 911 000 API uniques.
Disponible sur site, sous forme de service ou en solution hybride
Optez pour l'option sur site ou sous forme de service, puis allez plus loin selon les besoins de votre entreprise. Gérez votre programme sur site ou sous forme de service de manière centralisée.
WebInspect
Surveillance des vulnérabilités en production
L'outil d'analyse dynamique le plus complet et le plus précis
Balayez facilement la technologie Web et les infrastructures modernes. Démontrez le potentiel exploitable des vulnérabilités des applications et des serveurs Web.
Automatisation et intégration du flux de travail en entreprise
Solution entièrement automatisée pour répondre aux besoins DevOps et d'évolutivité. S'intègre au cycle de développement sans surcoût.
Disponible sur site, sous forme de service ou en solution hybride
Optez pour l'option sur site ou sous forme de service, puis allez plus loin selon les besoins de votre entreprise. Gérez votre programme sur site ou sous forme de service de manière centralisée.
Gestion de la conformité
Stratégies et rapports préconfigurés pour les principales réglementations de conformité liés à la sécurité des applications sur le Web, notamment PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP et HIPPAA
Gérer les risques de sécurité pour les applications de l'entreprise
Gérez les risques de sécurité pour vos applications et créez des rapports facilitant les mesures de correction et la supervision de la gestion. Surveillez les tendances et corrigez les vulnérabilités présentes dans chaque application.
Optimiser les résultats d'analyse grâce à la technologie des agents
Gagnez en visibilité et obtenez de précieux renseignements sur le suivi de la pile à partir des applications Web analysées. Optimisez le processus d'analyse et gagnez en vitesse et en précision grâce à cette technologie.
AppDefender
Protégez vos applications en
production
Aucune formation nécessaire pour un pare-feu WAF
Renforcez ou remplacez votre pare-feu WAF par une protection en continu contre les vulnérabilités que vous connaissez, mais aussi celles que vous ignorez.
Détection et protection en temps réel
Faites la différence entre une attaque réelle et une demande légitime. Protégez vos applications en production contre les toutes nouvelles menaces inédites (Zero Day).
Solide sécurité des applications
31 catégories de règles de protection contre les attaques de sécurité des applications, les tentatives d'exploit et autres violations de données comme l'injection de code SQL, les scripts de site à site et la violation de la confidentialité.
Facilité d'installation et de gestion
Bénéficiez d'une protection instantanée, sans modifier une seule ligne de code, puis gérez et contrôlez cette protection depuis une console centralisée et conviviale.
Visibilité des journaux pour les applications Web Java ou .NET
Pour corriger les vulnérabilités plus rapidement, fournissez le détail du code aux développeurs. Transmettez les journaux et les événements d'exploit à un système SIEM ou un gestionnaire de journaux, sans rien changer au code source.
Disponible sur site, sous forme de service ou en solution hybride
Démarrez rapidement et évoluez selon vos besoins, dans le Cloud ou sur site.
SSC -
Gestion du cycle de vie des
vulnérabilités
Un point unique pour gérer toutes les vulnérabilités découvertes par les outils: analyse statique de code, analyse dynamique, défense des applications en production... Toutes vos vulnérabilités gérées avec un seul outil qui permet de gérer des workflows de résolution.
Gestion centralisée de la sécurité des applications
Pour corriger les vulnérabilités plus rapidement, fournissez le détail du code aux développeurs. Transmettez les journaux et les événements d'exploit à un système SIEM ou un gestionnaire de journaux, sans rien changer au code source.
Exploiter l'apprentissage machine pour automatiser les audits
Pour automatiser la validation des problèmes de sécurité, servez-vous de l'apprentissage machine. Tirez parti de la base de connaissances de Fortify qui contient les décisions d'audit précédentes ou de vos propres données d'audit.
Flexibilité dans la gestion des rapports, précision dans la gestion des risques
Obtenez une vue globale des activités liées à la sécurité des applications : risques, problèmes de tendance, mesures de correction, améliorations, rapports et gestion de la conformité.
Une collaboration fluide dans toute l'entreprise
Réunissez les professionnels de la sécurité et les équipes de développement et de l'assurance qualité afin qu'ils puissent communiquer et collaborer à l'établissement des priorités et la résolution des problèmes de sécurité des applications.