fortify服务商-华克斯

HPFortifySCA简介

1.软件基本功能

·        

安全漏洞检测需拥有目前业界quan威的代码漏洞规则库，能够检测出600种以上的问题

·        

支持多种常见编程语言，源代码检测工具fortify服务商，包括，C，C++，C#，Classic

ASP， Flex/Acti***cript，fortify服务商，Java，JavaScript/AJAX，JSP，Objective

C，PL/SQL，PHP，T-SQL，VB.NET，VBScript，源代码扫描工具fortify服务商，VB6，XML/HTML，Python，

ColdFusion， COBOL，源代码扫描工具fortify服务商， ABAP等语言。

·        

支持多种IDE，较好地和现有成熟的软件开发环境集成。如：Visual Studio 2003、2005、2008、2010、2012，Eclipse 2.X、 3.X，WSAD，RAD工具等。

·        

支持多种操作系统，即可以安装在所有主流操作系统中，如：Windows、 Linux 、AIX、HP-Unix、 Solaris、Mac OS等。

·        

工具生成的测试结果报告文档包含详尽的中文漏洞说明和修复指导建议。

·        

工具的技术达到国际ling先水平和地位，有国际/国内机构的奖励和证书或对WASC/OWASP组织有重要贡献。在ju的IT研究咨询机构Gartner的xin报告中，应该位于魔力象限的di一象限业界地位。

Fortify软件

强化产品包括静态应用程序安全测试[11]和动态应用程序安全测试[12]产品，以及在软件应用程序生命周期内支持软件安全保障或可重复和可审计的安全行为的产品和服务。 13]

2011年2月，Fortify还宣布了Fortify OnDemand，一个静态和动态的应用程序测试服务。[14]

静态代码分析工具列表

HP WebInspect

惠普新闻稿：“惠普完成Fortify软件的收购，加速应用程序生命周期安全”2010年9月22日。

跳转软件搜索安全漏洞（英文），，2004年4月5日

2004年4月5日，跳起来加强软件的新方法

跳起来^桑德，保罗;贝克，莉安娜B.（08-09-08）。 “惠普企业与Micro Focus软件资产交易达88亿美元。”路透社。已取消2010-09-13

跳起来^“开源社区的质量和解决方案”于2016年3月4日在Wayback机上归档。

跳起来^“软件安全错误”归档2012年11月27日，在Wayback机。

跳起来“JavaScript劫持”于2015年6月23日在Wayback机上存档。

跳起来^“通过交叉构建注入攻击构建”

跳起来“看你所写的：通过观察节目输出来防止跨站脚本”

跳起来^“动态污染传播”

跳起来强化SCA

跳起来^ Fortify Runtime

惠普强化治理

跳高^ SD Times，“惠普建立了安全即服务”2011年2月15日。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回'true'。

<谓词>

 <！[CDATA [

函数f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

 ]]>

</谓词>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

<谓词>

 <！[CDATA [

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

 ]]>

</谓词>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则