源代碼掃描工具fortify價格-fortify價格-華克斯

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對JSSE API的SCA自定義規(guī)則濫用

我們的貢獻(xiàn)：強(qiáng)制性的SCA規(guī)則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個自定義規(guī)則中對以下檢查進(jìn)行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因為它們是厚客戶端和Android應(yīng)用程序的廣泛使用的庫。

超許可主機(jī)名驗證器：當(dāng)代碼聲明一個HostnameVerifier時，該規(guī)則被觸發(fā)，fortify價格，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當(dāng)代碼聲明一個TrustManager并且它不會拋出一個CertificateException時觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機(jī)名驗證：當(dāng)代碼使用低級SSLSocket API并且未設(shè)置HostnameVerifier時，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義主機(jī)名驗證器時，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義SSLSocketFactory時，該規(guī)則被觸發(fā)。

我們決定啟動“經(jīng)常被濫用”的規(guī)則，因為應(yīng)用程序正在使用API，并且應(yīng)該手動審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應(yīng)始終在源代碼分析期間執(zhí)行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關(guān)閉|分享文章分享文章

標(biāo)簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify SCA支持系統(tǒng)平臺，能掃描的語言種類是的。

Fortify SCA能全mian地（五個層面）分析源代碼中存在的問題。

Fortify SCA能夠掃描出來350多種漏洞，擁有目前業(yè)界權(quán)wei的安全規(guī)則庫，與世界同步。

Fortify SCA的測試掃描速度快，約1分鐘1萬行。

Fortify SCA提供了強(qiáng)大的審計平臺和詳細(xì)的漏洞信息。

Fortify SCA提供了漏洞的詳細(xì)中文說明和相應(yīng)的修復(fù)建議。

Fortify SCA操作簡單，使用方便，易用，界面設(shè)計人性化。

Fortify SCA獲得多項國際大獎，目前市場占有率第yi。

Fortify SCA是唯yi一個被國內(nèi)多家安全測評機(jī)構(gòu)所認(rèn)可并使用的代碼安全測試產(chǎn)品。

Fortify SCA 在600多家客戶，源代碼掃描工具fortify價格，在國內(nèi)也有30多家客戶，豐富的實施經(jīng)驗，國內(nèi)擁有的服務(wù)團(tuán)隊和售后支持團(tuán)隊。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

強(qiáng)化SCA Visual Studio插件

注意：此插件隨SCA_and_Tools安裝程序一起提供。

用于Visual Studio的HPE Security Fortify軟件包（完整軟件包）。完整軟件包使用HPE Security Fortify靜態(tài)代碼分析器（SCA）和HPE Security Fortify安全編碼規(guī)則包來定位解決方案和項目中的安全漏洞（包括對以下語言的支持：C / C ++，源代碼檢測工具fortify價格，C＃，Visual Basic .NET和ASP 。凈）。掃描結(jié)果顯示在Visual Studio中，并包括未被覆蓋的問題列表，每個問題所代表的漏洞類型的說明以及有關(guān)如何解決這些問題的建議。您可以掃描您的代碼，審核分析結(jié)果，并修復(fù)此完整包的問題。

用于Visual Studio的HPE Security Fortify修復(fù)包（修復(fù)包）。修復(fù)軟件包與HPE Security Fortify軟件安全中心（SSC）協(xié)同工作，為您的軟件安全分析添加補(bǔ)救功能。安裝修復(fù)軟件包后，源代碼審計工具fortify價格，您可以連接到軟件安全中心，并從Visual Studio解決代碼中的安全相關(guān)問題。您的組織可以使用軟件安全中心的修復(fù)軟件包來管理應(yīng)用程序，并將具體問題分配給正確的開發(fā)人員。修復(fù)包專注于修復(fù)階段，使開發(fā)人員能夠查看報告的漏洞并實施適當(dāng)?shù)慕鉀Q方案。

用于Visual Studio的HPE安全掃描包（掃描包）。掃描包使您能夠通過Visual Studio在項目和解決方案上使用MSBuild運(yùn)行SCA掃描。它是一個“輕量級”軟件包，它在Visual Studio IDE中占用的空間非常小，僅用于在源代碼上配置和運(yùn)行掃描。掃描包可以解決您的解決方案和項目中的安全漏洞。您可以將掃描結(jié)果（FPR文件）上傳到軟件安全中心，或者在HPE Security Fortify AuditWorkbench中打開它們進(jìn)行審核。