华中源代码审计工具fortify价格表免费咨询「华克斯」

Fortify软件

强化产品包括静态应用程序安全测试[11]和动态应用程序安全测试[12]产品，以及在软件应用程序生命周期内支持软件安全保障或可重复和可审计的安全行为的产品和服务。 13]

2011年2月，Fortify还宣布了Fortify OnDemand，一个静态和动态的应用程序测试服务。[14]

静态代码分析工具列表

HP WebInspect

惠普新闻稿：“惠普完成Fortify软件的收购，加速应用程序生命周期安全”2010年9月22日。

跳转软件搜索安全漏洞（英文），PCWorld.com，2004年4月5日

2004年4月5日，跳起来加强软件的新方法

跳起来^桑德，保罗;贝克，莉安娜B.（08-09-08）。 “惠普企业与Micro Focus软件资产交易达88亿美元。”路透社。已取消2010-09-13

跳起来^“开源社区的质量和解决方案”于2016年3月4日在Wayback机上归档。

跳起来^“软件安全错误”归档2012年11月27日，在Wayback机。

跳起来“JavaScript劫持”于2015年6月23日在Wayback机上存档。

跳起来^“通过交叉构建注入攻击构建”

跳起来“看你所写的：通过观察节目输出来防止跨站脚本”

跳起来^“动态污染传播”

跳起来强化SCA

跳起来^ Fortify Runtime

惠普强化治理

跳高^ SD Times，“惠普建立了安全即服务”2011年2月15日。

强化静态代码分析器

使软件更快地生产

如何解决Fortify报告的扫描问题

1124,1127由于[严重]低内存，扫描进度缓慢

这个错误不会影响结果的准确性，但是要加快扫描速度，请参阅：如何增加Fortify的内存进行翻译

1137功能。 。 。对于详尽的数据流分析来说太复杂了，进一步分析将被跳过（访问）如何解决“功能...太复杂”错误

1138功能。 。 。对于详尽的数据流分析来说太复杂了，进一步分析将被跳过（时间）如何解决“功能...太复杂”的错误

1212无法在<code location>中解析函数<method>

这是Fortify 17.10的一个已知问题。有关详细信息，请参阅以下文章：

Fortify SCA版本17.10的Java方法中的函数解析错误

1214为类找到多个定***决多个类定义。考虑将代码扫描到多个FPR文件（如果适用）。

1215找不到Web应用程序的部署描述符（web.xml）如何解决Fortify无法找到web.xml或WEB-INF目录的警告

1219无法在给定的搜索路径和Microsoft .NET Framework库中找到类[...]如何解决“无法找到类...”

1225无法找到Microsoft .NET反汇编程序工具（ildasm）如何解决“无法找到Microsoft .NET反汇编程序工具（ildasm）...”

1237以下对java类的引用无法解析[...]修改提供给Fortify的类路径以包含包含列出的类的jar文件。

1343功能。 。 。对于控制流分析来说太复杂了，将被跳过。 （时间）如何解决“功能...太复杂”错误

1425选项“-source-base-dir”（或属性“com.fortify.sca.SourceBaseDir”）应在处理cfml文件时设置将-source-base-dir设置为推荐

1501类路径条目。 。 。不存在根据需要修改提供给Fortify的类路径，以提供正确的类路径

6001没有文件被排除，因为-exclude选项指ding的文件模式[...]与任何文件不匹配此错误不会影响结果的准确性，但这可能意味着某些扫描的文件被意图排除。

10002无法解析T-SQL [...]如何在Windows上扫描PL / SQL

12003假设Java源级别为1.8，因为没有指ding。指ding在GUI中或使用-source或-jdk命令行选项使用的Java版本。

12004，12005 的PHP前端无法解析以下内容如何解决“PHP前端无法解析以下包含...”

12004，12006 ASP / VBScript前端无法解析以下内容/您可能需要定义一些虚拟根。如何解决“ASP / VBScript前端无法解决以下内容...”

12004,12010 Acti***cript前端无法解析以下导入如何解决“Acti***cript前端无法解析以下导入...”

12004红宝石前端无法解决以下要求如何解决“红宝石前端无法解决以下要求...”

12007您可能需要向SCA的-python-path参数添加一些参数请尝试根据Fortify的建议配置-python-path参数。请参阅Fortify文档中的SCA用户指南***2章：翻译Python代码

12014在.Net翻译器执行期间发生翻译错误这是Fortify 16.20扫描C＃6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息：Fortify 16.20“C＃6 / VB 14”中的“转换器执行失败”错误

12019以下对java函数的引用无法解析有关此错误，请参阅以下博客文章

12020未找到以下类，但提供了哪个jar文件可能包含该类的建议。修改提供给Fortify的类路径以包含包含列出的类的jar文件。

12022课程[。 。 。]在类路径中找不到，但是它在HPE Fortify提供的jar中找到。 。 。·自动分析软件的配置和代码的关系，发现在软件配置和代码之间，由于配置丢失或者不一致而带来的安全隐患。如果未设置，请显式设置Java版本，并修改提供给Fortify的类路径以包含指示的jar文件。如果Fortify拉入了正确的jar文件版本，那么这可以被认为不是一个问题，但是必须包含一个自述文件，解释它们是正确的版本。

13556找不到实现该类型的lambda的方法。 。 。有关此错误，请参阅以下博客文章。

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个***HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12,800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（发动机））;

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。学到更多SIEMArcSightESM确定安全事件的优先级，以保护您的业务。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭