* Statische analyse: Dit is de kern van Fortify. Het analyseert broncode, bytecode en binaire bestanden zonder de applicatie daadwerkelijk uit te voeren, en identificeert potentiële beveiligingszwakheden op basis van vooraf gedefinieerde regels en patronen. Dit maakt vroegtijdige detectie van kwetsbaarheden mogelijk voordat deze in productie gaan.

* Brede taalondersteuning: Fortify ondersteunt een breed scala aan programmeertalen, waaronder Java, .NET, C++, C#, PHP, JavaScript en meer. Dit maakt het aanpasbaar aan diverse ontwikkelomgevingen.

* Uitgebreide detectie van kwetsbaarheden: Het identificeert een breed spectrum aan beveiligingsfouten, waaronder:

* Injectiefouten: SQL-injectie, cross-site scripting (XSS), opdrachtinjectie, enz.

* Cross-site verzoekvervalsing (CSRF)

* Kwetsbaarheden in authenticatie en sessiebeheer

* Problemen met gegevensvalidatie en opschoning

* Fouten in de toegangscontrole

* Bedrijfslogische fouten

* zwakke punten in de API-beveiliging

* Cryptografieproblemen

* Richtlijnen voor prioritering en herstel: Fortify identificeert niet alleen kwetsbaarheden; Het geeft er ook prioriteit aan op basis van de ernst en de waarschijnlijkheid van exploitatie, waardoor ontwikkelaars zich eerst kunnen concentreren op de meest kritieke problemen. Het biedt gedetailleerd hersteladvies en bevat vaak links naar relevante best practices en voorbeelden op het gebied van beveiliging.

* Integratie met ontwikkelingstools: Fortify kan worden geïntegreerd met verschillende IDE's (Integrated Development Environments) en CI/CD (Continuous Integration/Continuous Delivery) pijplijnen, waardoor een naadloze integratie in bestaande workflows mogelijk is. Dit maakt geautomatiseerde beveiligingstests mogelijk als onderdeel van het bouwproces.

* Rapportage en dashboards: Het biedt uitgebreide rapportage en dashboards die een overzicht bieden van de beveiligingssituatie van de applicatie, de voortgang in de loop van de tijd volgen en trends in soorten kwetsbaarheden identificeren.

* Softwarecompositieanalyse (SCA): Veel Fortify-aanbiedingen omvatten SCA-mogelijkheden, die de open-sourcecomponenten analyseren die in een applicatie worden gebruikt, en bekende kwetsbaarheden in die bibliotheken en raamwerken identificeren. Dit is van cruciaal belang voor het beheersen van risico's van derden.

* Webapplicatie scannen: Hoewel het in de eerste plaats een SAST-tool is, kunnen sommige Fortify-aanbiedingen Dynamic Application Security Testing (DAST) of Interactive Application Security Testing (IAST) bevatten als aanvulling op de statische analyse.

Samenvattend zijn de belangrijkste functies van Fortify gericht op het bieden van een alomvattende, geïntegreerde en geautomatiseerde aanpak voor het testen van applicatiebeveiliging, waardoor ontwikkelaars veiligere software kunnen bouwen. De specifieke beschikbare functies kunnen variëren, afhankelijk van het specifieke Fortify-product en de gekochte licentie.