fortify的应用案例（美国军队部署）第二篇战略-为什么选择fortify SCA

    

 美国国防部一直采用以网络为中心的信息安全解决方案，并没有关注其软件应用中的漏洞。作为“网络为中心数据战略（Net-Centric DataStrategy）”的一部分

  战略-为什么选择fortify SCA

    现在TAMIS内部认为，改进软件安全保障做法是降低弹药管理系统整体风险的关键。为了实现这一点，TAMIS团队开始评估领先的行业源代码分析器。Fortify无疑是最佳选择。最初的市场研究确定对六个产品进行评估，包括Fortify、KlocWork和IBM/Ounce等。他们的评估专注于修复、优先排序、查看和报告功能，以及每个产品与其环境的整合程度。最后剩下的两个产品是Fortify和Ounce。

      在网络安全研讨会上，对Fortify及其Fortify静态代码分析器（SCA）软件产品的讨论让Bob Torche印象深刻，但他并没有信服。他让其团队对Fortify SCA直接在TAMIS代码上进行测试，不只是为了检查其结果，也是想要了解该产品如何对其环境作出响应。他对最初检测到的漏洞数量感到震惊，并很快意识到他们需要做很多工作来解决这些漏洞。随后进一步的评估显示，Fortify Security Center软件提供的优势不只是静态代码分析。

    Torche解释说，“Fortify提供了全面的应用安全做法，其中包含检测和保护功能。除了Fortify SCA，我们还意识到对运行中的应用进行动态分析的重要性，而TAMIS正需要这种分析功能。我们还发现，完整的软件安全保障解决方案提供的运行时保护可以为我们奠定最好的基础。我们开始相信，这个最佳解决方案既可以解决我们眼前的需要，也可以解决整个软件开发周期出现的新要求。”

攻击：
通过专家支持来分离和解决

        在选择Fortify后，TAMIS团队仍然有一些障碍需要解决。为了完成Fortify部署工作，开发人员用来对代码运行静态分析以及上传结果到FortifySecurity Center的每台机器都需要安装FortifySCA。惠Fortify SecurityCenter用于维护规则包、在QA过程中扫描预发布代码以及生成报告。

        Fortify工程师协助了这个安装过程，并针对TAMIS环境对其产品进行了调整。TAMIS还利用Fortify的支持服务协助其开发人员审查初步扫描结果，该团队需要一些帮助来优化初步调查结果，以分离出最严重的威胁。该团队发现针对这个应用调整FortifySecurity Center有点费时，但却是成功的关键。最后，Fortify还完成了对10名TAMIS开发人员为期两天的深度产品培训。

美国陆军TAMIS项目经理Bob Torche认为专家支持是软件安全保障工作成功的关键，这些工作涉及对已经在生产中的应用的持续开发。他进一步解释说，“我们发现Fortify的支持服务当属一流，包括从智能的安装到信息工作人员的培训。这些服务帮助我们确保了稳定的部署及维持我们的部署时间表。各种问题都很快得到解决，从而让我们在计划时间范围内实现顺利和稳定的部署。

结果：引发DoD内部应用安全变革

       美国陆军TAMIS项目经理BobTorche认为，“对于持续的安全运维，我们必须不断寻求修复和功能之间的平衡。在已经部署的Web应用（持续开发的应用）中部署应用安全方案是一个挑战，这需要在我们的开发过程中实现文化变革。在作出承诺后，我建议企业遵循我们的路线，寻求快速变化，采用最佳做法，然后坚持到底。最终我们会建立一个更强大的应用，但挑战一直存在，即使你已经对应用作出改进。这是我们使用Fortify SecurityCenter软件获得成功的秘密。”

通过惠普Fortify解决方案，TAMIS已经：

· 确定了风险状况。具体而言，Fortify帮助TAMIS降低了风险，且符合其资金和资源水平。

· 增强了安全态势。TAMIS变得更有信心，因为其软件不存在主要漏洞，这是软件安全保障的终极目标。

· 建立了软件开发生命周期方法。现在安全从一开始就被构建到TAMIS，且有既定的流程和程序。

        根据美国国家标准与技术研究院（NIST）的研究显示，在生产软件中修复安全漏洞所需成本是在开发过程中解决漏洞的30倍以上。美国陆军试图提供网络为中心的信息来协助上级作战人员的决策，所以他们不断调整和改进TAMIS功能来应对作战环境的威胁。在过去三年中，该系统的赞助商已经整合了数据和自动化流程，从而让其弹药需求流程符合单一的军队后勤企业（SALE）的要求。TAMIS的转型已经完成了四分之三，接下来的工作是连接该系统与全球作战支援系统-陆军（GCSS-A）和物流现代化计划（LogisticsModernization Program），这两个都是企业资源规划的部署项目。

        TAMIS是美国陆军第三个成功部署惠普Fortify软件的案例，美国陆军还在其通信与电子装备司令部（Communicationsand ElectronicsCommand，CECOM）和坦克-机动车辆与军械司令部（Tank-Automotive& ArmamentCommand，TACOM）系统中使用了Fortify解决方案。除了既有的25个Fortify的项目，美国陆军现在又新增了15个FortifySecurityCenter实例。这些让美国国防部开始接受软件安全保障最佳做法。Torche指出了这种影响力，他表示，“静态应用安全测试应该成为所有开发或采购应用的IT企业的强制性要求。

更多交流评论回复或邮件