Fale conosco
Fortify on Demand

Fortify on Demand

O Fortify on Demand oferece soluções robustas de segurança de aplicativos.

Informações básicas

O Fortify on Demand é uma solução de Segurança de Aplicações como Serviço (SaaS) baseada na nuvem, oferecida pela OpenText (anteriormente Micro Focus). Ele fornece um conjunto abrangente de ferramentas de teste de segurança, incluindo Teste Estático de Segurança de Aplicações (SAST), Teste Dinâmico de Segurança de Aplicações (DAST), Teste de Segurança de Aplicações Móveis (MAST) e Análise de Composição de Software (SCA). O serviço foi projetado para identificar vulnerabilidades em aplicações de software ao longo de todo o ciclo de vida de desenvolvimento de software.

  • Modelo/Versão: SaaS com atualizações contínuas. As versões recentes incluem 23.2 (julho de 2023) e 25.2 (abril de 2025).
  • Data de lançamento: Atualizações contínuas; grandes lançamentos ocorrem periodicamente, como a versão 23.2 em julho de 2023 e a versão 25.2 em abril de 2025.
  • Requisitos mínimos: Principalmente, acesso via navegador e conexão à internet para o portal. As ferramentas de integração possuem seus próprios requisitos de sistema.
  • Sistemas Operacionais Suportados: Para testes de aplicativos móveis, o sistema é compatível com iOS até a versão 15.7 e Android até a versão 32 (Android 12), incluindo as arquiteturas nativas ARMv7 e ARM64. O acesso do cliente é baseado em navegador, com suporte para sistemas operacionais modernos.
  • Última versão estável: Como um SaaS, o serviço em si é atualizado continuamente. A última atualização de serviço anunciada é a 25.2, de abril de 2025.
  • Data de Fim do Suporte: Para a oferta SaaS, o suporte é contínuo. Componentes subjacentes específicos ou ferramentas integradas locais podem ter datas de fim de suporte definidas (por exemplo, o suporte para o Fortify Static Code Analyzer 23.2 termina em 31 de dezembro de 2025).
  • Data de Fim de Vida Útil: Não aplicável à oferta contínua de SaaS.
  • Data de expiração da atualização automática: Não aplicável; a plataforma SaaS recebe atualizações automáticas.
  • Tipo de licença: Baseada em assinatura, normalmente adquirida em "unidades de avaliação" ou por aplicativo/desenvolvedor, oferecendo consumo flexível.
  • Modelo de implantação: baseado em nuvem (Software como Serviço). Implantações híbridas também são possíveis, integrando-se com componentes locais.

Requisitos técnicos

Como um serviço baseado em nuvem, o Fortify on Demand requer principalmente acesso do lado do cliente para os usuários e recursos de integração para ambientes de desenvolvimento. Ele não possui os requisitos tradicionais de hardware do lado do servidor para o usuário final.

  • RAM: Não especificada para acesso do cliente; depende do navegador e do sistema operacional.
  • Processador: Não especificado para acesso do cliente; depende do navegador e do sistema operacional.
  • Armazenamento: Não especificado para acesso do cliente; depende do navegador e do sistema operacional.
  • Exibição: Resolução mínima de 1024 x 768 para acesso ao portal web; 1280 x 1024 recomendada.
  • Portas: É necessária conectividade com a Internet. Para testes dinâmicos de segurança de aplicativos (DAST), os aplicativos do cliente devem fornecer acesso às portas 80/443 para testadores remotos.
  • Sistema Operacional: Compatível com qualquer sistema operacional que suporte navegadores web modernos para acesso ao portal. Para testes de aplicativos móveis, oferece suporte às arquiteturas nativas iOS (até 15.7) e Android (até 32 bits/Android 12) (ARMv7, ARM64).
  • Navegador: Todos os navegadores modernos são compatíveis para acessar o portal Fortify on Demand.
  • Requisitos de integração:
    • APIs para programas de segurança de aplicativos (AppSec) sem interface gráfica e integrações personalizadas.
    • Plugins de CI/CD para Jenkins, Azure DevOps e outros ambientes de compilação.
    • Integrações com IDEs como Visual Studio e IntelliJ para feedback em tempo real aos desenvolvedores.
    • Utilitário FoDUploader para fazer upload de código a partir de servidores de compilação.

Análise dos Requisitos Técnicos

Os requisitos técnicos do Fortify on Demand são mínimos para os usuários finais, girando principalmente em torno de acesso padrão à internet e compatibilidade com navegadores modernos. Isso reflete seu modelo de entrega SaaS, que delega o gerenciamento da infraestrutura ao provedor. As considerações técnicas mais significativas residem na integração do serviço aos fluxos de trabalho de desenvolvimento e DevOps existentes, exigindo conhecimento da API e configurações de plugins. Essa abordagem permite ampla acessibilidade, ao mesmo tempo que oferece recursos de integração avançados para testes de segurança automatizados. Os testes de aplicativos móveis contam com suporte específico para versões e arquiteturas de sistemas operacionais, o que é padrão para esse tipo de análise especializada.

Suporte e compatibilidade

O Fortify on Demand oferece suporte abrangente e ampla compatibilidade por meio de sua arquitetura nativa da nuvem e extenso ecossistema de integração.

  • Última versão: O serviço é atualizado continuamente, sendo a última atualização anunciada a versão 25.2, de abril de 2025.
  • Suporte a sistemas operacionais: Independente do navegador para o portal web. Para testes de aplicativos móveis, é compatível com iOS até a versão 15.7 e Android até a versão 32 (Android 12).
  • Data de Fim do Suporte: Como um SaaS, o serviço recebe suporte contínuo. Os componentes subjacentes do Fortify ou soluções integradas locais podem ter datas específicas de fim de suporte, como o Fortify Static Code Analyzer 23.2, cujo suporte está previsto para terminar em 31 de dezembro de 2025.
  • Localização: O suporte está disponível globalmente por meio de pontos de contato regionais (Américas, Europa, Oriente Médio e África, Ásia-Pacífico).
  • Drivers disponíveis: Não aplicável para SaaS. As integrações são gerenciadas por meio de APIs e plugins dedicados para diversas ferramentas de desenvolvimento e plataformas de CI/CD.

Análise do estado geral de suporte e compatibilidade

O Fortify on Demand demonstra um forte suporte geral e um alto nível de compatibilidade. Seu modelo SaaS garante atualizações contínuas e elimina a necessidade de os usuários gerenciarem versões de software ou drivers. Uma equipe de suporte dedicada, incluindo Gerentes de Contas Técnicas (TAMs), está disponível 24 horas por dia, 7 dias por semana, complementada por recursos de autoatendimento. A compatibilidade da plataforma é ampla, estendendo-se a diversos sistemas operacionais móveis para testes e integrando-se perfeitamente com ferramentas populares de CI/CD e IDEs por meio de APIs e plugins. Esse ecossistema robusto permite que as organizações incorporem testes de segurança em todo o seu Ciclo de Vida de Desenvolvimento de Software (SDLC), independentemente de sua infraestrutura tecnológica existente.

Estado de segurança

O Fortify on Demand foi projetado com um forte foco em segurança de aplicativos, oferecendo uma abordagem multifacetada para detecção e gerenciamento de vulnerabilidades.

  • Recursos de segurança:
    • Testes estáticos de segurança de aplicações (SAST) para código-fonte, binário ou bytecode.
    • Testes dinâmicos de segurança de aplicações (DAST) para aplicações web e APIs, simulando técnicas de hacking do mundo real.
    • Testes de segurança de aplicativos móveis (MAST) abrangendo APIs de cliente, rede e backend.
    • Análise de Composição de Software (SCA, na sigla em inglês) para identificar componentes de código aberto, vulnerabilidades e detalhes de licença.
    • Revisão especializada e análise manual para reduzir falsos positivos e garantir a qualidade dos resultados da digitalização.
    • Gestão de vulnerabilidades com relatórios detalhados, orientações para correção e acompanhamento de problemas.
    • Feedback contínuo aos desenvolvedores para o desenvolvimento de código seguro.
    • Atualizações de inteligência sobre ameaças em tempo real.
  • Vulnerabilidades conhecidas: O serviço foi projetado para identificar vulnerabilidades em *aplicativos de clientes*. Informações sobre vulnerabilidades específicas na plataforma Fortify on Demand não são divulgadas publicamente, em conformidade com as práticas de divulgação responsável.
  • Status na lista negra: Não aplicável.
  • Certificações:
    • Autorizado pelo FedRAMP (para o setor federal dos EUA), incluindo certificação JAB.
    • Requisitos da norma ISO 27001 para segregação de funções e autenticação de pessoal da Micro Focus.
  • Suporte à criptografia: Implícito para um serviço de nuvem seguro, garantindo que os dados em trânsito e em repouso estejam protegidos.
  • Métodos de autenticação:
    • Credenciais de usuário com IDs de locatário exclusivos.
    • Suporte para Single Sign-On (SSO).
    • Opções de autenticação de dois fatores (2FA) (SMS ou e-mail).
    • Restrições de IP para acesso do inquilino.
    • Autenticação de API via tokens de portador.
    • Controle de acesso baseado em funções (RBAC) com funções padrão e personalizadas.
  • Recomendações gerais: Integre os testes de segurança de aplicativos desde o início e de forma contínua ao longo do ciclo de vida de desenvolvimento de software (SDLC - Shift Left), aproveite a revisão de especialistas para obter resultados precisos e utilize mecanismos de autenticação robustos.

Análise da Classificação Geral de Segurança

O Fortify on Demand apresenta uma alta classificação geral de segurança. Seu conjunto abrangente de metodologias de teste (SAST, DAST, MAST, SCA) oferece "defesa em profundidade" contra uma ampla gama de vulnerabilidades. A inclusão de revisão especializada reduz significativamente os falsos positivos, aumentando a precisão e a aplicabilidade das descobertas. Certificações como FedRAMP e a conformidade com os padrões ISO 27001 reforçam seu compromisso com práticas robustas de segurança, especialmente para ambientes sensíveis. Opções de autenticação fortes, incluindo SSO, 2FA e restrições de IP, protegem ainda mais o acesso à plataforma. As atualizações contínuas e a pesquisa de segurança da OpenText garantem que o serviço se mantenha à frente das ameaças em constante evolução.

Desempenho e indicadores de desempenho

Como uma oferta de SaaS, as métricas de desempenho do Fortify on Demand se concentram na eficiência e escalabilidade de seus serviços de teste de segurança, em vez de benchmarks de hardware tradicionais.

  • Resultados de benchmarks: Não há resultados de benchmarks públicos específicos disponíveis (por exemplo, desempenho de CPU, RAM), pois estes são gerenciados pelo provedor de nuvem.
  • Métricas de desempenho no mundo real:
    • É possível identificar riscos por meio de varreduras estáticas em poucos minutos.
    • Reduz os falsos positivos em até 95%.
    • Reduz as vulnerabilidades de código repetitivas em até 40%.
    • Suporta de uma a milhares de digitalizações por dia, demonstrando alta escalabilidade.
    • É possível economizar até 25% no tempo de desenvolvimento graças às análises automatizadas de código.
  • Consumo de energia: Não divulgado publicamente para o serviço em nuvem.
  • Pegada de carbono: Não divulgada publicamente para o serviço em nuvem.
  • Comparação com ativos semelhantes:
    • Os usuários destacam o sistema robusto de rastreamento de problemas (com nota 9,2 no G2) e as sugestões abrangentes de correção (com nota 8,2 no G2).
    • API sólida e excelentes capacidades de integração (nota 8,3 no G2).
    • Algumas avaliações de usuários indicam uma taxa de detecção menor (pontuação de 6,9 no G2) em comparação com concorrentes como Semgrep ou Coverity, o que pode levar a uma maior intervenção manual.
    • Queixas frequentes sobre falsos positivos, embora o serviço vise reduzi-los por meio de revisão especializada.
    • A digitalização pode ser lenta em alguns contextos, principalmente em implementações locais ou cenários de automação complexos.
    • Excelente desempenho em testes de conformidade (nota 9,1 no G2).

Análise do Estado de Desempenho Geral

O desempenho do Fortify on Demand se caracteriza pela sua capacidade de fornecer testes de segurança de aplicativos rápidos e escaláveis. O serviço enfatiza a eficiência na identificação e correção de vulnerabilidades, com alegações de reduções significativas em falsos positivos e tempo de desenvolvimento. Sua capacidade de lidar com milhares de varreduras diárias destaca sua escalabilidade de nível empresarial. Embora ofereça recursos robustos, como rastreamento de problemas e orientação para correção, o feedback dos usuários sugere que sua taxa de detecção pode ser percebida como inferior à de alguns concorrentes, e os falsos positivos ainda podem ser uma preocupação, mesmo após revisão por especialistas. No geral, oferece uma solução poderosa e eficiente para integrar a segurança ao pipeline de desenvolvimento, especialmente para organizações que priorizam a conformidade e testes abrangentes.

Avaliações e comentários dos usuários

As avaliações e comentários dos usuários sobre o Fortify on Demand geralmente destacam seus pontos fortes em testes abrangentes e integração, ao mesmo tempo que apontam áreas para melhoria, principalmente em relação a falsos positivos e suporte a idiomas específicos.

  • Pontos fortes:
    • Testes abrangentes: Elogiado por oferecer SAST, DAST, MAST e SCA como um serviço unificado.
    • Fácil de usar e intuitivo: Os usuários consideram a solução fácil de usar, com recursos de digitalização automática.
    • Detecção eficaz de vulnerabilidades: Habilidade para identificar problemas de segurança graves, como tokens de acesso expostos no código-fonte.
    • Capacidades de integração: Uma API robusta e a integração com ferramentas de CI/CD (por exemplo, Jenkins) são altamente valorizadas, permitindo que a segurança seja incorporada aos fluxos de desenvolvimento.
    • Orientações para Remediação: Fornece sugestões abrangentes de remediação, ajudando as equipes a lidar com vulnerabilidades rapidamente.
    • Rastreamento de problemas: Oferece um sistema robusto de rastreamento de problemas para um gerenciamento eficiente de vulnerabilidades.
    • Suporte especializado: A equipe de suporte é reconhecida pela rapidez na resolução de problemas e no fornecimento de feedback.
    • Escalabilidade: Projetado para se adaptar a organizações de todos os portes, desde pequenas empresas até grandes corporações.
  • Pontos fracos:
    • Falsos positivos: Queixas frequentes sobre falsos positivos, que podem exigir um esforço considerável para triagem, mesmo após revisão por especialistas.
    • Taxa de detecção: Algumas comparações sugerem uma taxa de detecção inferior em comparação com as alternativas, o que pode exigir mais intervenção manual.
    • Suporte limitado a idiomas (para plataformas de nicho): Embora suporte muitos idiomas, pode não oferecer suporte imediato a algumas plataformas proprietárias ou interfaces de programação menos comuns em comparação com os concorrentes.
    • Documentação: Pode ser considerada menos amigável ao usuário, potencialmente dificultando a configuração inicial para novos usuários.
    • Desafios da Automação: Alguns comentários antigos indicam que a automação com o Fortify on Demand pode ser problemática, levando à dependência de processos manuais e respostas lentas do suporte para depuração.
  • Casos de uso recomendados:
    • Organizações que desejam iniciar ou aprimorar seu programa de segurança de aplicativos.
    • Identificar e priorizar os esforços de correção de vulnerabilidades ao longo do ciclo de vida de desenvolvimento de software (SDLC).
    • Integrando testes de segurança em ambientes modernos de desenvolvimento e DevOps.
    • Empresas que necessitam de recursos abrangentes em SAST, DAST, MAST e SCA.
    • Ambientes que precisam atender a padrões e regulamentações do setor (por exemplo, FedRAMP, PCI DSS, GDPR).

Resumo

O Fortify on Demand é uma solução robusta de Segurança de Aplicações como Serviço (SaaS) baseada na nuvem, que oferece um conjunto abrangente de ferramentas para identificar e gerenciar vulnerabilidades de software. Seu principal diferencial reside na oferta de Análise Estática, Dinâmica, Móvel e de Composição de Software como um serviço unificado e continuamente atualizado, com revisão especializada para aumentar a precisão e reduzir falsos positivos. A plataforma possui alta escalabilidade, suportando inúmeras varreduras diárias, e integra-se perfeitamente a diversos ambientes de desenvolvimento e pipelines de CI/CD por meio de APIs e plugins abrangentes, facilitando uma abordagem de segurança "shift-left". Recursos de segurança robustos, incluindo certificação FedRAMP e métodos de autenticação como SSO e 2FA, reforçam seu compromisso com a proteção de dados sensíveis de aplicações.

No entanto, o feedback dos usuários indica algumas áreas que precisam ser aprimoradas. Embora o serviço vise reduzir os falsos positivos, eles continuam sendo uma preocupação recorrente para alguns usuários, podendo impactar a eficiência. Além disso, apesar de oferecer suporte a uma ampla gama de linguagens, o suporte imediato para plataformas de programação altamente especializadas ou proprietárias pode ser menos abrangente em comparação com algumas alternativas. Feedbacks antigos também sugerem que a automação pode, por vezes, ser desafiadora, exigindo intervenção manual.

Em geral, o Fortify on Demand é uma excelente opção para organizações que buscam uma solução de segurança de aplicativos escalável, integrada e com suporte especializado, principalmente aquelas que priorizam a conformidade e o gerenciamento abrangente de vulnerabilidades em todo o seu portfólio de software. Seus pontos fortes, como ampla cobertura de testes, integração e suporte dedicado, o tornam um recurso valioso para programas de segurança de aplicativos em desenvolvimento. As organizações devem estar preparadas para ajustar as configurações e aproveitar a revisão especializada para mitigar o impacto de falsos positivos e garantir o desempenho ideal para suas respectivas tecnologias.

As informações fornecidas são baseadas em dados disponíveis publicamente e podem variar dependendo das configurações específicas do dispositivo. Para obter informações atualizadas, consulte os recursos oficiais do fabricante.

Simplifique o seu ecossistema IT com InvGate Asset Management

30 dias de teste gratuito - Não é necessário cartão de crédito

Comece

Preços claros

Sem surpresas nem taxas ocultas: somente preços claros que atendam às suas necessidades.

Ver Preços

Migração fácil

Nossa equipe garante que sua transição para a InvGate seja rápida, tranquila e sem complicações.

Ver Customer Experience