黑龍江fortify采購-華克斯(推薦商家)

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服務的同時，我們經(jīng)常開發(fā)一系列定制安全檢查和靜態(tài)分析規(guī)則，以檢測我們在源代碼安全評估中發(fā)現(xiàn)的不安全的編碼模式。這些模式可以代表特定于正在評估的應用程序，其架構(gòu)/設(shè)計，使用的組件或甚至開發(fā)團隊本身的常見安全漏洞或的安全弱點。這些自定義規(guī)則經(jīng)常被開發(fā)以針對特定語言，并且可以根據(jù)客戶端使用的或者舒服的方式在特定的靜態(tài)分析工具中實現(xiàn) - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審核不安全代碼的Scala

為Spring MVC構(gòu)建Fortify自定義規(guī)則

用PMD保護發(fā)展

在本博客文章中，我將專注于開發(fā)Fortify SCA的PoC規(guī)則，以針對基于Java的應用程序，然而，相同的概念可以輕松擴展到其他工具和/或開發(fā)語言。

影響Duo Mobile的近漏洞證實了Georgiev等人的分析，他們展示了各種非瀏覽器軟件，黑龍江fortify采購，庫和中間件中SSL / TLS證書驗證不正確的嚴重安全漏洞。

具體來說，源代碼審計工具fortify采購，在這篇文章中，我們專注于如何識別Java中SSL / TLS API的不安全使用，這可能導致中間人或欺騙性攻擊，從而允許惡意主機模擬受信任的攻擊。將HP Fortify SCA集成到SDLC中可以使應用程序定期有效地掃描漏洞。我們發(fā)現(xiàn)，由于SSL API濫用而導致的問題并未通過開箱即用的規(guī)則集確定，因此我們?yōu)镕ortify開發(fā)了一個全mian的12個自定義規(guī)則包。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

語義本分析儀在程序級別檢測功能和API的潛在危險用途?；旧鲜且粋€聰明的GREP。

配置此分析器在應用程序的部署配置文件中搜索錯誤，弱點和策略違規(guī)。

緩沖區(qū)此分析儀檢測緩沖區(qū)溢出漏洞，涉及寫入或讀取比緩沖區(qū)容納的更多數(shù)據(jù)。

分享這個

于十二月二十四日十二時十七分

感謝你非常有用的信息。你知道這些分析儀在內(nèi)部工作嗎？如果您提供一些細節(jié)，我將非常感謝。 - 新手十二月27'12 at 4:22

1

有一個很好的，但干燥的書的主題：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

現(xiàn)在還有一個內(nèi)容分析器，盡管這與配置分析器類似，除非在非配置文件中搜索問題（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一個非常好的，源代碼掃描工具fortify采購，但在完全不同的抽象層次，源代碼檢測工具fortify采購，我可以用另一種方式回答這個問題：

您的源代碼被轉(zhuǎn)換為中間模型，該模型針對SCA的分析進行了優(yōu)化。

某些類型的代碼需要多個階段的翻譯。例如，需要先將C＃文件編譯成一個debug.DLL或.EXE文件，然后將該.NET二進制文件通過.NET SDK實用程序ildasm.exe反匯編成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相應的Fortify SCA翻譯器一次翻譯成該語言。

SCA將模型加載到內(nèi)存中并加載分析器。每個分析器以協(xié)調(diào)的方式加載規(guī)則并將這些角色應用于程序模型中的功能。

匹配被寫入FPR文件，漏洞匹配信息，安全建議，源代碼，源交叉引用和代碼導航信息，用戶過濾規(guī)范，任何自定義規(guī)則和數(shù)字簽名都壓縮到包中。

HP Fortify

Static

Code Analyzer

(SCA)

 靜態(tài)分析–

發(fā)現(xiàn)和修復源代碼的安全隱患

   用戶場景：

     用戶擁有開發(fā)團隊，擁有源代碼

優(yōu)勢:

跨語言

跨操作平臺

跨IDE環(huán)境

掃描速度快

詳細的中文報告

發(fā)現(xiàn)安全漏洞的準確性和全mian性

擁有業(yè)界龐大權(quán)wei的代碼漏洞規(guī)則庫

擁有da的市場份額和gao的用hu口碑

支持的語音：

VB.Net

C#.Net

ASP

VBScript

VB6

Java(Android)

JSP

JavaScript

HTML

黑龍江fortify采購-華克斯(推薦商家)由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是一家從事“Loadrunner,Fortify,源代碼審計,源代碼掃描”的公司。自成立以來，我們堅持以“誠信為本，穩(wěn)健經(jīng)營”的方針，勇于參與市場的良性競爭，使“Loadrunner,Fortify,Webinspect”品牌擁有良好口碑。我們堅持“服務至上，用戶至上”的原則，使華克斯在行業(yè)軟件中贏得了客戶的信任，樹立了良好的企業(yè)形象。 特別說明：本信息的圖片和資料僅供參考，歡迎聯(lián)系我們索取準確的資料，謝謝！