Micro Focus Fortify to produkt dedykowany do wsparcia bezpieczeństwa aplikacji – w sposób automatyczny badający podatności zawarte w kodzie źródłowym oprogramowania jak i w kodzie wynikowym. W erze, gdy aplikacje stanowią krytyczny element infrastruktury biznesowej, a cyberprzestępcy nieustannie poszukują luk w oprogramowaniu, automatyzacja testów bezpieczeństwa kodu staje się niezbędna dla każdej organizacji prowadzącej rozwój software’u.
Tradycyjne podejście do bezpieczeństwa aplikacji opierało się głównie na testach przeprowadzanych pod koniec cyklu rozwoju. Takie podejście generowało znaczne koszty – wykrycie i naprawa podatności w fazie produkcyjnej może być nawet 100 razy droższa niż jej eliminacja we wczesnych etapach rozwoju. Fortify umożliwia przesunięcie testów bezpieczeństwa w lewo (shift-left security), integrując się bezpośrednio ze środowiskiem programistycznym.
Platforma oferuje kompleksowy zestaw narzędzi do testowania bezpieczeństwa aplikacji:
- Static Application Security Testing (SAST) – wspiera ponad 26 języków programowania oraz oferuje wsparcie dla wielu popularnych platform programistycznych IDE, umożliwiając analizę kodu źródłowego bezpośrednio w środowisku deweloperskim
- Dynamic Application Security Testing (DAST) – analiza aplikacji wynikowych WWW (Java, .NET), testująca działającą aplikację z perspektywy zewnętrznego atakującego
- Interactive Application Security Testing (IAST) – łączy zalety SAST i DAST, monitorując aplikację podczas jej działania i korelując wyniki z kodem źródłowym
- Runtime Application Self-Protection (RASP) – zapewnia ochronę aplikacji w czasie rzeczywistym, wykrywając i blokując ataki podczas wykonywania
Kluczową zaletą Fortify jest zdolność do identyfikacji szerokiego spektrum podatności, w tym tych z listy OWASP Top 10 – od SQL Injection, przez Cross-Site Scripting (XSS), po problemy z uwierzytelnianiem i zarządzaniem sesjami. System nie tylko wykrywa podatności, ale również dostarcza szczegółowe informacje o ich lokalizacji w kodzie wraz z rekomendacjami naprawczymi.
Integracja z popularnymi narzędziami CI/CD, takimi jak Jenkins, Azure DevOps czy GitLab, pozwala na automatyczne uruchamianie testów bezpieczeństwa przy każdym buildzie. Dzięki temu zespoły DevOps mogą wdrożyć prawdziwe podejście DevSecOps, gdzie bezpieczeństwo jest integralną częścią całego cyklu życia oprogramowania.
OpenText Fortify — obecny stan platformy i aktualizacje nazewnictwa
Warto zaznaczyć, że Micro Focus jako firma przeszła istotną zmianę korporacyjną — w 2023 roku Micro Focus zostało przejęte przez OpenText Corporation. Produkty z portfolio bezpieczeństwa aplikacji są teraz oferowane pod marką OpenText Fortify, zachowując jednak ciągłość technologiczną i wsparcie dla istniejących wdrożeń. Obecna platforma obejmuje OpenText Fortify Static Code Analyzer (SCA), OpenText Fortify Software Security Center (SSC) oraz OpenText Fortify on Demand — wersję SaaS platformy.
Zmiana właściciela przyniosła nowe inwestycje w integrację Fortify z ekosystemem OpenText, szczególnie w obszarze zarządzania aplikacjami (Application Lifecycle Management) i testowania oprogramowania. Dla istniejących klientów kluczowe jest, że wsparcie techniczne, aktualizacje bazy podatności i rozwój funkcjonalności są kontynuowane — platforma aktywnie wspiera nowe języki programowania i frameworki pojawiające się w ekosystemie enterprise.
Obsługiwane języki i frameworki — pełna lista możliwości
OpenText Fortify SCA (Static Code Analyzer) obsługuje ponad 27 języków programowania i ponad 1000 frameworków — co czyni go jednym z najszerszych pod względem pokrycia języków narzędzi SAST dostępnych na rynku. Szczegółowy zakres wsparcia obejmuje kilka kluczowych kategorii.
Języki backendowe i systemowe: Java (wszystkie wersje, w tym Jakarta EE), C i C++, C#/.NET (w tym .NET Core i .NET 6+), Python (2 i 3), Go, Ruby, Scala, Kotlin, Swift, Objective-C, COBOL, VB.NET, Perl. Wsparcie dla COBOL jest szczególnie wartościowe dla organizacji z systemami legacy działającymi na IBM Mainframe.
Języki frontendowe i webowe: JavaScript i TypeScript (Node.js, React, Angular, Vue.js), PHP, HTML5, CSS. Analiza JavaScript obejmuje zarówno kod serwerowy (Node.js), jak i frontendowy, z rozumieniem frameworków i bibliotek.
Infrastruktura jako kod (IaC): Terraform, Ansible, AWS CloudFormation, Kubernetes YAML, Docker (Dockerfile). Skanowanie IaC jest krytyczne w środowiskach DevSecOps — błędy konfiguracji infrastruktury (jak otwarty bucket S3, nadmiarowe uprawnienia IAM) są równie niebezpieczne jak podatności w kodzie aplikacji.
Mobilne: Android (Java i Kotlin), iOS (Swift i Objective-C). Analiza aplikacji mobilnych uwzględnia specyficzne zagrożenia platform mobilnych, takie jak insecure data storage, improper authentication czy weak cryptography opisane w OWASP Mobile Top 10.
Fortify Software Security Center — centralne zarządzanie bezpieczeństwem aplikacji
Fortify Software Security Center (SSC) to centralna platforma zarządzania wynikami skanowań SAST i DAST dla całego portfolio aplikacji organizacji. SSC agreguje wyniki z Fortify SCA, Fortify on Demand i zewnętrznych narzędzi bezpieczeństwa, dostarczając zunifikowany widok stanu bezpieczeństwa aplikacji.
Kluczowe możliwości SSC obejmuje zarządzanie cyklem życia podatności — od wykrycia, przez triage i przypisanie do deweloperów, po weryfikację naprawy i zamknięcie. Metryki bezpieczeństwa aplikacji (Security Rating, Risk Score) pozwalają menedżerom bezpieczeństwa porównywać aplikacje między sobą i śledzić trendy w czasie. Raportowanie compliance pozwala na generowanie dowodów zgodności z regulacjami wymagającymi testowania bezpieczeństwa kodu — PCI DSS, DORA, regulacje sektora finansowego.
Integracja SSC z systemami ITSM (Jira, ServiceNow, Azure DevOps) automatyzuje tworzenie ticketów dla wykrytych podatności, eliminując ręczny transfer wyników między systemami. Dwukierunkowa synchronizacja statusów zapewnia, że SSC wie o postępach remediacji, a zespół bezpieczeństwa nie musi ręcznie śledzić statusu dziesiątek lub setek zgłoszonych podatności.
Integracja Fortify w pipeline CI/CD — praktyczne wskazówki
Skuteczna integracja Fortify w pipeline CI/CD wymaga przemyślanego podejścia, które balansuje między kompletnością skanowania a wpływem na czas budowania.
Skanowanie przyrostowe (incremental scan) jest podstawą codziennej pracy — przy każdym commit lub pull request skanowany jest tylko zmieniony kod, co zapewnia szybki feedback (minuty zamiast godzin). Plugin Fortify dla Jenkins, GitLab CI/CD, GitHub Actions i Azure DevOps umożliwia natywną integrację z tymi platformami.
Security gate — automatyczne zablokowanie merge lub deployment w przypadku wykrycia krytycznych podatności — jest kluczowym elementem egzekwowania polityki bezpieczeństwa. Konfiguracja progów (tylko Critical, lub Critical+High) musi być dostosowana do dojrzałości i profilu ryzyka organizacji. Zbyt restrykcyjne progi mogą sparaliżować development — zbyt liberalne tracą sens kontrolny.
Pełne skanowanie jest zalecane na etapie build dla gałęzi release lub przed wdrożeniem na środowisko produkcyjne. Pełne skanowanie daje najpełniejszy obraz bezpieczeństwa, ale zajmuje więcej czasu — od kilkunastu minut do kilku godzin dla dużych baz kodu.
Zarządzanie wyjątkami (false positive suppression) jest nieuniknione przy pracy ze SAST. Fortify SSC umożliwia dokumentowanie i zatwierdzanie wyjątków przez zespół bezpieczeństwa, z wymaganym uzasadnieniem i datą ważności. Kontrolowane wyjątki są istotnie lepsze niż ignorowanie wyników — dokumentują świadome decyzje i podlegają regularnej rewizji.
Compliance i regulacje — jak Fortify wspiera zgodność z wymaganiami?
Organizacje podlegające regulacjom bezpieczeństwa aplikacji — PCI DSS (wymóg testowania kodu), DORA (wymóg testowania odporności dla sektora finansowego), standardy NIST, czy wytyczne OWASP — mogą wykorzystać Fortify jako element programu compliance.
Fortify SCA mapuje wykryte podatności do standardowych klasyfikacji: OWASP Top 10, CWE (Common Weakness Enumeration), SANS Top 25, wymagania PCI DSS. Generowane raporty compliance są bezpośrednio przydatne jako dowody dla audytorów, pokazując systematyczne podejście do testowania bezpieczeństwa kodu i zarządzania wykrytymi podatnościami.
Dla organizacji wdrażających program DevSecOps, Fortify jest naturalnym komponentem, który zamienia bezpieczeństwo kodu z jednorazowego audytu w ciągły, zautomatyzowany proces. Więcej o audycie kodu źródłowego dowiesz się w artykule: Audyt Kodu Źródłowego — Czym jest, jak działa i dlaczego warto go wykonać
📚 Przeczytaj kompletny przewodnik: IAM / Zero Trust: Zarządzanie tożsamością i dostępem - od podstaw do Zero Trust
Powiązane pojęcia
Poznaj kluczowe terminy związane z tym artykułem w naszym słowniku cyberbezpieczeństwa:
- Cyberbezpieczeństwo — Cyberbezpieczeństwo to zbiór technik, procesów i praktyk ochrony systemów IT,…
- DevSecOps — DevSecOps to podejście do tworzenia oprogramowania integrujące praktyki…
- Szyfrowanie — Szyfrowanie to proces konwersji danych na zaszyfrowany tekst nieczytelny bez…
- Zarządzanie podatnościami — Zarządzanie podatnościami to systematyczny proces identyfikacji, oceny i…
- Zarządzanie urządzeniami końcowymi — Zarządzanie urządzeniami końcowymi (Endpoint Management) to proces…
Dowiedz się więcej
Zapoznaj się z powiązanymi artykułami w naszej bazie wiedzy:
- Testy bezpieczeństwa aplikacji mobilnych: Jak chronić dane na platformach Android i iOS?
- Audyt Kodu Źródłowego - Czym jest, jak działa i dlaczego warto go wykonać
- Analiza trendów w obszarze Cybersecurity na rynku polskim
- Czym jest atak Man in the Middle (MITM) i jak przebiega?
- AWS vs Azure vs Google Cloud – Porównanie liderów chmury publicznej
Sprawdź nasze usługi
Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź:
- Zarządzanie podatnościami - ciągłe monitorowanie i eliminacja luk
- Testy penetracyjne - identyfikacja podatności w infrastrukturze
Poznaj nasze produkty
Rozwiązania wspomniane w tym artykule, które mogą pomóc w ochronie Twojej organizacji:
- OpenText Fortify — OpenText
- OpenText Fortify Software Security Center — Fortinet
- OpenText Fortify Static Code Analyzer — Fortinet
