源代碼掃描工具fortify價格-fortify價格-華克斯

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

我們的貢獻：強制性的SCA規(guī)則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個自定義規(guī)則中對以下檢查進行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因為它們是厚客戶端和Android應用程序的廣泛使用的庫。

超許可主機名驗證器：當代碼聲明一個HostnameVerifier時，該規(guī)則被觸發(fā)，fortify價格，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當代碼聲明一個TrustManager并且它不會拋出一個CertificateException時觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機名驗證：當代碼使用低級SSLSocket API并且未設置HostnameVerifier時，將觸發(fā)該規(guī)則。

經常被誤用：自定義HostnameVerifier：當代碼使用HttpsURLConnection API并且它設置自定義主機名驗證器時，該規(guī)則被觸發(fā)。

經常被誤用：自定義SSLSocketFactory：當代碼使用HttpsURLConnection API并且它設置自定義SSLSocketFactory時，該規(guī)則被觸發(fā)。

我們決定啟動“經常被濫用”的規(guī)則，因為應用程序正在使用API，并且應該手動審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應始終在源代碼分析期間執(zhí)行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關閉|分享文章分享文章

標簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify SCA支持系統(tǒng)平臺，能掃描的語言種類是的。

Fortify SCA能全mian地（五個層面）分析源代碼中存在的問題。

Fortify SCA能夠掃描出來350多種漏洞，擁有目前業(yè)界權wei的安全規(guī)則庫，與世界同步。

Fortify SCA的測試掃描速度快，約1分鐘1萬行。

Fortify SCA提供了強大的審計平臺和詳細的漏洞信息。

Fortify SCA提供了漏洞的詳細中文說明和相應的修復建議。

Fortify SCA操作簡單，使用方便，易用，界面設計人性化。

Fortify SCA獲得多項國際大獎，目前市場占有率第yi。

Fortify SCA是唯yi一個被國內多家安全測評機構所認可并使用的代碼安全測試產品。

Fortify SCA 在600多家客戶，源代碼掃描工具fortify價格，在國內也有30多家客戶，豐富的實施經驗，國內擁有的服務團隊和售后支持團隊。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

強化SCA Visual Studio插件

注意：此插件隨SCA_and_Tools安裝程序一起提供。

用于Visual Studio的HPE Security Fortify軟件包（完整軟件包）。完整軟件包使用HPE Security Fortify靜態(tài)代碼分析器（SCA）和HPE Security Fortify安全編碼規(guī)則包來定位解決方案和項目中的安全漏洞（包括對以下語言的支持：C / C ++，源代碼檢測工具fortify價格，C＃，Visual Basic .NET和ASP 。凈）。掃描結果顯示在Visual Studio中，并包括未被覆蓋的問題列表，每個問題所代表的漏洞類型的說明以及有關如何解決這些問題的建議。您可以掃描您的代碼，審核分析結果，并修復此完整包的問題。

用于Visual Studio的HPE Security Fortify修復包（修復包）。修復軟件包與HPE Security Fortify軟件安全中心（SSC）協(xié)同工作，為您的軟件安全分析添加補救功能。安裝修復軟件包后，源代碼審計工具fortify價格，您可以連接到軟件安全中心，并從Visual Studio解決代碼中的安全相關問題。您的組織可以使用軟件安全中心的修復軟件包來管理應用程序，并將具體問題分配給正確的開發(fā)人員。修復包專注于修復階段，使開發(fā)人員能夠查看報告的漏洞并實施適當?shù)慕鉀Q方案。

用于Visual Studio的HPE安全掃描包（掃描包）。掃描包使您能夠通過Visual Studio在項目和解決方案上使用MSBuild運行SCA掃描。它是一個“輕量級”軟件包，它在Visual Studio IDE中占用的空間非常小，僅用于在源代碼上配置和運行掃描。掃描包可以解決您的解決方案和項目中的安全漏洞。您可以將掃描結果（FPR文件）上傳到軟件安全中心，或者在HPE Security Fortify AuditWorkbench中打開它們進行審核。