Contáctanos
Fortify on Demand

Fortify on Demand

Fortify on Demand ofrece soluciones robustas de seguridad para aplicaciones.

Información básica

Fortify on Demand es una solución de seguridad de aplicaciones como servicio (SaaS) basada en la nube, ofrecida por OpenText (anteriormente Micro Focus). Proporciona un conjunto completo de herramientas de pruebas de seguridad, que incluyen pruebas de seguridad estáticas (SAST), pruebas de seguridad dinámicas (DAST), pruebas de seguridad para aplicaciones móviles (MAST) y análisis de composición de software (SCA). El servicio está diseñado para identificar vulnerabilidades en aplicaciones de software a lo largo de todo el ciclo de vida del desarrollo de software.

  • Modelo/Versión: SaaS con actualizaciones continuas. Las versiones recientes incluyen la 23.2 (julio de 2023) y la 25.2 (abril de 2025).
  • Fecha de lanzamiento: Actualizaciones continuas; los lanzamientos principales ocurren periódicamente, como 23.2 en julio de 2023 y 25.2 en abril de 2025.
  • Requisitos mínimos: Principalmente, acceso a internet y conexión a internet desde un navegador del cliente para el portal. Las herramientas de integración tienen sus propios requisitos de sistema.
  • Sistemas operativos compatibles: Para pruebas de aplicaciones móviles, admite iOS hasta la versión 15.7 y Android hasta la versión 32 (Android 12), incluidas las arquitecturas nativas ARMv7 y ARM64. El acceso del cliente se realiza a través del navegador, lo que permite el uso de sistemas operativos modernos.
  • Última versión estable: Como SaaS, el servicio se actualiza continuamente. La última actualización anunciada es la versión 25.2, con fecha de abril de 2025.
  • Fecha de fin de soporte: Para la oferta SaaS, el soporte es continuo. Algunos componentes subyacentes o herramientas locales integradas pueden tener fechas de fin de soporte definidas (por ejemplo, el soporte comprometido para Fortify Static Code Analyzer 23.2 finaliza el 31 de diciembre de 2025).
  • Fecha de fin de vida útil: No aplicable a la oferta continua de SaaS.
  • Fecha de vencimiento de la actualización automática: No aplicable; la plataforma SaaS recibe actualizaciones automáticas.
  • Tipo de licencia: Basada en suscripción, generalmente adquirida en "unidades de evaluación" o por aplicación/desarrollador, ofreciendo un consumo flexible.
  • Modelo de implementación: basado en la nube (Software como servicio). También son posibles implementaciones híbridas, integrándose con componentes locales.

Requisitos técnicos

Como servicio basado en la nube, Fortify on Demand requiere principalmente acceso del lado del cliente para los usuarios y capacidades de integración para entornos de desarrollo. No tiene los requisitos de hardware tradicionales del lado del servidor para el usuario final.

  • RAM: No especificada para el acceso del cliente; depende del navegador y del sistema operativo.
  • Procesador: No especificado para el acceso del cliente; depende del navegador y del sistema operativo.
  • Almacenamiento: No especificado para el acceso del cliente; depende del navegador y del sistema operativo.
  • Pantalla: Resolución mínima de 1024 x 768 para acceder al portal web; se recomienda 1280 x 1024.
  • Puertos: Se requiere conectividad a Internet. Para las pruebas de seguridad de aplicaciones dinámicas (DAST), las aplicaciones del cliente deben proporcionar acceso a los puertos 80/443 para los evaluadores remotos.
  • Sistema operativo: Compatible con cualquier sistema operativo que admita navegadores web modernos para el acceso al portal. Para pruebas de aplicaciones móviles, admite arquitecturas nativas de iOS (hasta la versión 15.7) y Android (hasta la versión 32/Android 12) (ARMv7, ARM64).
  • Navegador: Todos los navegadores modernos son compatibles para acceder al portal Fortify on Demand.
  • Requisitos de integración:
    • API para programas AppSec sin interfaz gráfica y integraciones personalizadas.
    • Complementos de CI/CD para Jenkins, Azure DevOps y otros entornos de compilación.
    • Integraciones con IDE para Visual Studio e IntelliJ para proporcionar retroalimentación en tiempo real a los desarrolladores.
    • Utilidad FoDUploader para cargar código desde servidores de compilación.

Análisis de los requisitos técnicos

Los requisitos técnicos de Fortify on Demand para los usuarios finales son mínimos, centrándose principalmente en el acceso a internet y la compatibilidad con navegadores web modernos. Esto se debe a su modelo de entrega SaaS, que delega la gestión de la infraestructura al proveedor. Las consideraciones técnicas más importantes radican en la integración del servicio en los flujos de trabajo de desarrollo y DevOps existentes, lo que requiere conocimientos de API y configuración de plugins. Este enfoque permite una amplia accesibilidad y, al mismo tiempo, proporciona capacidades de integración avanzadas para pruebas de seguridad automatizadas. Las pruebas de aplicaciones móviles cuentan con soporte específico para versiones y arquitecturas de sistemas operativos, lo cual es estándar para este tipo de análisis especializado.

Soporte y compatibilidad

Fortify on Demand ofrece soporte integral y amplia compatibilidad gracias a su arquitectura nativa de la nube y su extenso ecosistema de integración.

  • Última versión: El servicio se actualiza continuamente, siendo la última actualización anunciada la 25.2 a partir de abril de 2025.
  • Compatibilidad con sistemas operativos: El portal web es compatible con cualquier navegador. Para pruebas de aplicaciones móviles, admite iOS hasta la versión 15.7 y Android hasta la versión 32 (Android 12).
  • Fecha de fin de soporte: Como servicio SaaS, este servicio cuenta con soporte continuo. Los componentes subyacentes de Fortify o las soluciones locales integradas pueden tener fechas específicas de fin de soporte, como Fortify Static Code Analyzer 23.2, cuyo soporte está programado hasta el 31 de diciembre de 2025.
  • Localización: El soporte está disponible a nivel mundial a través de puntos de contacto regionales (Américas, Europa, Oriente Medio y África, Asia Pacífico).
  • Controladores disponibles: No aplicable para SaaS. Las integraciones se gestionan mediante API y complementos específicos para diversas herramientas de desarrollo y plataformas CI/CD.

Análisis del estado general de soporte y compatibilidad

Fortify on Demand ofrece un sólido soporte y compatibilidad. Su modelo SaaS garantiza actualizaciones continuas y elimina la necesidad de que los usuarios gestionen versiones de software o controladores. Un equipo de soporte especializado, que incluye gestores técnicos de cuentas (TAM), está disponible las 24 horas del día, los 7 días de la semana, complementado con recursos de autoservicio. La plataforma es ampliamente compatible con diversos sistemas operativos móviles para realizar pruebas y se integra perfectamente con las herramientas de CI/CD e IDE más populares mediante API y plugins. Este robusto ecosistema permite a las organizaciones integrar las pruebas de seguridad a lo largo de todo su ciclo de vida de desarrollo de software (SDLC), independientemente de su infraestructura tecnológica actual.

Estado de seguridad

Fortify on Demand está diseñado con un fuerte enfoque en la seguridad de las aplicaciones, ofreciendo un enfoque multifacético para la detección y gestión de vulnerabilidades.

  • Características de seguridad:
    • Pruebas de seguridad de aplicaciones estáticas (SAST) para código fuente, binario o de bytes.
    • Pruebas de seguridad de aplicaciones dinámicas (DAST) para aplicaciones web y API, que imitan técnicas de piratería informática del mundo real.
    • Pruebas de seguridad de aplicaciones móviles (MAST) que abarcan las API del cliente, la red y el backend.
    • Análisis de composición de software (SCA) para identificar componentes de código abierto, vulnerabilidades y detalles de licencia.
    • Revisión experta y análisis manual para reducir los falsos positivos y garantizar la calidad de los resultados del escaneo.
    • Gestión de vulnerabilidades con informes detallados, guía de remediación y seguimiento de problemas.
    • Retroalimentación continua a los desarrolladores para un desarrollo de código seguro.
    • Actualizaciones de inteligencia de amenazas en tiempo real.
  • Vulnerabilidades conocidas: El servicio está diseñado para identificar vulnerabilidades en las aplicaciones de los clientes. La información sobre vulnerabilidades específicas dentro de la plataforma Fortify on Demand no se divulga públicamente, en cumplimiento de las prácticas de divulgación responsable.
  • Estado en la lista negra: No aplicable.
  • Certificaciones:
    • Autorizado por FedRAMP (para el sector federal de EE. UU.), incluyendo la certificación JAB.
    • Requisitos ISO27001 para la segregación de funciones y la autenticación del personal de Micro Focus.
  • Compatibilidad con cifrado: Implícita en un servicio en la nube seguro, que garantiza la protección de los datos en tránsito y en reposo.
  • Métodos de autenticación:
    • Credenciales de usuario con identificadores de inquilino únicos.
    • Compatibilidad con el inicio de sesión único (SSO).
    • Opciones de autenticación de dos factores (2FA) (SMS o correo electrónico).
    • Restricciones de IP para el acceso de los inquilinos.
    • Autenticación de API mediante tokens de portador.
    • Control de acceso basado en roles (RBAC) con roles predeterminados y personalizados.
  • Recomendaciones generales: Integre las pruebas de seguridad de las aplicaciones de forma temprana y continua a lo largo del ciclo de vida del desarrollo de software (Shift Left), aproveche la revisión de expertos para obtener resultados precisos y utilice mecanismos de autenticación robustos.

Análisis de la calificación de seguridad general

Fortify on Demand presenta una alta calificación de seguridad general. Su conjunto integral de metodologías de prueba (SAST, DAST, MAST, SCA) proporciona una defensa en profundidad contra una amplia gama de vulnerabilidades. La inclusión de la revisión de expertos reduce significativamente los falsos positivos, mejorando la precisión y la aplicabilidad de los hallazgos. Certificaciones como FedRAMP y el cumplimiento de las normas ISO 27001 subrayan su compromiso con prácticas de seguridad sólidas, especialmente para entornos sensibles. Las sólidas opciones de autenticación, que incluyen SSO, 2FA y restricciones de IP, refuerzan aún más la seguridad del acceso a la plataforma. Las actualizaciones continuas y la investigación de seguridad de OpenText garantizan que el servicio se mantenga a la vanguardia de las amenazas emergentes.

Rendimiento y puntos de referencia

Como oferta SaaS, las métricas de rendimiento de Fortify on Demand se centran en la eficiencia y la escalabilidad de sus servicios de pruebas de seguridad en lugar de en las pruebas de rendimiento de hardware tradicionales.

  • Puntuaciones de referencia: No hay puntuaciones de referencia públicas específicas disponibles (por ejemplo, rendimiento de CPU, RAM), ya que estas son gestionadas por el proveedor de la nube.
  • Métricas de rendimiento en el mundo real:
    • Puede identificar riesgos mediante escaneos estáticos en cuestión de minutos.
    • Reduce los falsos positivos hasta en un 95%.
    • Reduce las vulnerabilidades de código repetido hasta en un 40%.
    • Admite desde uno hasta miles de escaneos por día, lo que demuestra una alta escalabilidad.
    • Puede ahorrar hasta un 25% en tiempo de desarrollo gracias a los escaneos de código automatizados.
  • Consumo de energía: No se divulga públicamente para el servicio en la nube.
  • Huella de carbono: No se divulga públicamente para el servicio en la nube.
  • Comparación con activos similares:
    • Los usuarios destacan el sólido seguimiento de problemas (puntuación de 9,2 en G2) y las sugerencias de remediación integrales (puntuación de 8,2 en G2).
    • Sólidas capacidades de API e integración (puntuación de 8,3 en G2).
    • Algunas reseñas de usuarios indican una tasa de detección más baja (con una puntuación de 6,9 en G2) en comparación con competidores como Semgrep o Coverity, lo que podría llevar a una mayor intervención manual.
    • Se reciben quejas frecuentes sobre falsos positivos, aunque el servicio pretende reducirlos mediante la revisión de expertos.
    • El escaneo puede ser lento en algunos contextos, particularmente para implementaciones locales o escenarios de automatización complejos.
    • Sobresale en las pruebas de cumplimiento (obteniendo una puntuación de 9,1 en G2).

Análisis del estado general del rendimiento

El rendimiento de Fortify on Demand se caracteriza por su capacidad para ofrecer pruebas de seguridad de aplicaciones rápidas y escalables. El servicio destaca por su eficiencia en la identificación y corrección de vulnerabilidades, con reducciones significativas en falsos positivos y tiempo de desarrollo. Su capacidad para gestionar miles de análisis diarios subraya su escalabilidad de nivel empresarial. Si bien ofrece funciones sólidas como el seguimiento de incidencias y la guía de corrección, los comentarios de los usuarios sugieren que su tasa de detección podría percibirse como inferior a la de algunos competidores, y los falsos positivos aún pueden ser un problema a pesar de la revisión de expertos. En general, proporciona una solución potente y eficiente para integrar la seguridad en el proceso de desarrollo, especialmente para organizaciones que priorizan el cumplimiento normativo y las pruebas exhaustivas.

Reseñas y comentarios de los usuarios

Las reseñas y comentarios de los usuarios sobre Fortify on Demand generalmente resaltan sus puntos fuertes en las pruebas exhaustivas y la integración, al tiempo que señalan áreas de mejora, particularmente en lo que respecta a los falsos positivos y la compatibilidad con idiomas específicos.

  • Fortalezas:
    • Pruebas integrales: Elogiadas por ofrecer SAST, DAST, MAST y SCA como un servicio unificado.
    • Fácil de usar e intuitiva: Los usuarios encuentran la solución fácil de usar gracias a sus capacidades de escaneo automático.
    • Detección eficaz de vulnerabilidades: Permite identificar problemas de seguridad graves, como tokens de acceso expuestos en el código fuente.
    • Capacidades de integración: Se valoran mucho las API sólidas y la integración con herramientas CI/CD (por ejemplo, Jenkins), ya que permiten incorporar la seguridad en los flujos de desarrollo.
    • Guía de remediación: Proporciona sugerencias de remediación integrales, ayudando a los equipos a abordar las vulnerabilidades rápidamente.
    • Seguimiento de incidencias: Incluye un sólido sistema de seguimiento de incidencias para una gestión eficiente de vulnerabilidades.
    • Soporte experto: El equipo de soporte se destaca por su rapidez para resolver problemas y brindar retroalimentación.
    • Escalabilidad: Diseñado para adaptarse a organizaciones de todos los tamaños, desde pequeñas empresas hasta grandes corporaciones.
  • Debilidades:
    • Falsos positivos: Quejas frecuentes sobre falsos positivos, que pueden requerir un esfuerzo significativo para su clasificación, a pesar de la revisión de expertos.
    • Tasa de detección: Algunas comparaciones sugieren una tasa de detección menor en comparación con otras alternativas, lo que podría requerir una mayor intervención manual.
    • Compatibilidad limitada con idiomas (para plataformas especializadas): Si bien admite muchos idiomas, puede carecer de compatibilidad inmediata con algunas plataformas propietarias o interfaces de programación menos comunes en comparación con la competencia.
    • Documentación: Puede percibirse como menos amigable para el usuario, lo que podría obstaculizar a los nuevos usuarios durante la configuración inicial.
    • Desafíos de automatización: Algunos comentarios anteriores indican que la automatización con Fortify on Demand puede ser problemática, lo que lleva a depender de procesos manuales y a respuestas de soporte lentas para la depuración.
  • Casos de uso recomendados:
    • Organizaciones que buscan impulsar o madurar su programa de seguridad de aplicaciones.
    • Identificar y priorizar los esfuerzos de remediación para las vulnerabilidades a lo largo del SDLC.
    • Integración de las pruebas de seguridad en los entornos modernos de desarrollo y DevOps.
    • Empresas que requieren capacidades integrales de SAST, DAST, MAST y SCA.
    • Entornos que deben cumplir con los estándares y regulaciones de la industria (por ejemplo, FedRAMP, PCI DSS, GDPR).

Resumen

Fortify on Demand es una solución robusta de seguridad de aplicaciones como servicio (SaaS) basada en la nube que proporciona un conjunto completo de herramientas para identificar y gestionar vulnerabilidades de software. Su principal fortaleza reside en ofrecer análisis estático, dinámico, móvil y de composición de software como un servicio unificado y de actualización continua, respaldado por la revisión de expertos para mejorar la precisión y reducir los falsos positivos. La plataforma cuenta con una alta escalabilidad, admite numerosos análisis diarios y se integra a la perfección con diversos entornos de desarrollo y canalizaciones de CI/CD mediante extensas API y complementos, lo que facilita un enfoque de seguridad preventivo. Sus sólidas características de seguridad, que incluyen la certificación FedRAMP y métodos de autenticación robustos como SSO y 2FA, subrayan su compromiso con la protección de los datos confidenciales de las aplicaciones.

Sin embargo, los comentarios de los usuarios señalan algunas áreas de mejora. Si bien el servicio busca reducir los falsos positivos, estos siguen siendo una preocupación recurrente para algunos usuarios, lo que podría afectar la eficiencia. Además, aunque admite una amplia gama de lenguajes, la compatibilidad inmediata con plataformas de programación altamente especializadas o propietarias podría ser menos completa en comparación con algunas alternativas. Comentarios anteriores también sugieren que la automatización a veces puede ser compleja y requiere intervención manual.

En resumen, Fortify on Demand es una excelente opción para organizaciones que buscan una solución de seguridad de aplicaciones escalable, integrada y con soporte experto, especialmente para aquellas que priorizan el cumplimiento normativo y la gestión integral de vulnerabilidades en todo su portafolio de software. Su amplia cobertura de pruebas, integración y soporte especializado la convierten en un recurso valioso para programas de seguridad de aplicaciones en desarrollo. Las organizaciones deben estar preparadas para optimizar las configuraciones y aprovechar la revisión experta para mitigar el impacto de los falsos positivos y garantizar un rendimiento óptimo para sus pilas tecnológicas específicas.

La información proporcionada se basa en datos de dominio público y puede variar según la configuración específica del dispositivo. Para obtener información actualizada, consulte los recursos oficiales del fabricante.

Simplifica tu ecosistema IT con InvGate Asset Management

Pruébalo 30 días sin costo - No precisa tarjeta de crédito

Comienza ahora

Precios claros

Sin sorpresas ni cargos ocultos: solo precios claros que se adaptan a tus necesidades.

Ver Precios

Migración sencilla

Nuestro equipo garantiza que tu transición a InvGate sea rápida, fluida y sin complicaciones.

Ver Customer Experience