fortify版本-蘇州華克斯

FortifySCA系統(tǒng)集成和可擴展性

·

可以支持和QC、Bugzilla等主流的質(zhì)量管理系統(tǒng)集成。使安全測試、功能測試和性能測試發(fā)現(xiàn)的問題統(tǒng)一管理，與開發(fā)團隊現(xiàn)有的流程相融合。

·

漏洞管理平臺可以支持和企業(yè)LDAP域用戶服務(wù)器和Email服務(wù)器的集成。 提高工作效率，實現(xiàn)集中管理。

·

可以支持和主流持續(xù)集成平臺的整合如Hudson/Jenkins，實現(xiàn)從獲取xin代碼、構(gòu)建編譯、安全測試、結(jié)果發(fā)布的全自動化，提高工作效率，節(jié)省人力成本。

·

可以支持和主流的黑盒Web應(yīng)用安全測試產(chǎn)品進行黑白盒關(guān)聯(lián)分析，具有強大的可擴展性，提高應(yīng)用安全測試結(jié)果的準確性，并且得到的定位和修復(fù)。

Fortify SCA支持系統(tǒng)平臺，能掃描的語言種類是的。

Fortify SCA能全mian地（五個層面）分析源代碼中存在的問題。

Fortify SCA能夠掃描出來350多種漏洞，擁有目前業(yè)界權(quán)wei的安全規(guī)則庫，與世界同步。

Fortify SCA的測試掃描速度快，約1分鐘1萬行。

Fortify SCA提供了強大的審計平臺和詳細的漏洞信息。

Fortify SCA提供了漏洞的詳細中文說明和相應(yīng)的修復(fù)建議。

Fortify SCA操作簡單，使用方便，易用，界面設(shè)計人性化。

Fortify SCA獲得多項國際大獎，目前市場占有率第yi。

Fortify SCA是唯yi一個被國內(nèi)多家安全測評機構(gòu)所認可并使用的代碼安全測試產(chǎn)品。

Fortify SCA 在600多家客戶，在國內(nèi)也有30多家客戶，豐富的實施經(jīng)驗，國內(nèi)擁有的服務(wù)團隊和售后支持團隊。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

允許所有的行動

應(yīng)用程序不檢查服務(wù)器發(fā)送的數(shù)字證書是否發(fā)送到客戶端正在連接的URL。

Java安全套接字擴展（JSSE）提供兩組API來建立安全通信，一個HttpsURLConnection API和一個低級SSLSocket API。

HttpsURLConnection API默認執(zhí)行主機名驗證，再次可以通過覆蓋相應(yīng)的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時，大約有12，源代碼檢測工具fortify版本，800個結(jié)果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不開箱即可執(zhí)行主機名驗證。以下代碼是Java 8片段，僅當端點標識算法與空字符串或NULL值不同時才執(zhí)行主機名驗證。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，源代碼審計工具fortify版本，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，源代碼檢測工具fortify版本，identityAlg，isClient，

getRequestedServerNames（發(fā)動機））;

}

...

}

當SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時，fortify版本，識別算法設(shè)置為NULL，因此主機名驗證被默認跳過。因此，如果攻擊者在客戶端連接到“”時在網(wǎng)絡(luò)上具有MITM位置，則應(yīng)用程序還將接受為“some-evil-”頒發(fā)的有效的服務(wù)器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當使用原始SSLSocket和SSLEngine類時，您應(yīng)該始終在發(fā)送任何數(shù)據(jù)之前檢查對等體的憑據(jù)。 SSLSocket和SSLEngine類不會自動驗證URL中的主機名與對等體憑