江苏源代码扫描工具fortify sca承诺守信「华克斯」

FortifySCA服务概述

 软件源代码是软件需求、设计和实现的***终载体,源代码安全风险评估发现代码构造期间引入实现级别的安全漏洞，并为这些编码错误建议补救措施。z特有的X-Tier?跟zong器：跨跃项目的上下层次,贯穿程序来综合分析问题。源代码安全风险评估对现有代码库进行分析，并对导致安全漏洞的代码构造进行定位。包括但不限于OWASP Top 10、PCI 、CWE、CVE、SANS20、SOX 等国际***组织公布的软件安全漏洞。

我们的***安全团队将静态分析工具和***手动审查相结合来尽可能揭示所有的可能存在的安全漏洞。

Fortify软件

强化静态代码分析器

使软件更快地生产

应用安全

HPE Security Fortify提供端到端应用安全解决方案，具有灵活的测试内部部署和按需来覆盖整个软件开发生命周期。

跨SDLC的应用安全

到2020年，IT将需要每年发布120x应用程序。 随着发展速度的加快，满足这一需求，安全工作就要跟上。我们的***安全团队将静态分析工具和***手动审查相结合来尽可能揭示所有的可能存在的安全漏洞。 无效安全测试效率低下且无效。 当这种方法与新SDLC的速度，集成和自动化相冲突时，安全性成为创新的障碍。 Fortify解决方案将应用程序安全性作为新的SDLC的自然部分，通过建立安全性实现上市时间。

任何想法如何适用于iOS应用程序？ Fortify是否有任何Mac软件通过我们可以扫描iOS代码Objective-C / Swift代码？ 

还有一个@Doug的补充上面提到的评论...从Fortify 16.20开始，SCA现在支持直接扫描.Net C＃/ ASP / VB源代码 - 不再需要预编译。

是 - Fortify SCA支持扫描Objective-C和Swift for iOS以及约20种其他语言和众多框架。在Fortify SCA数据表中查看更多信息：

华克斯

您还可以通过Fortify on Demand上的SaaS来利用Fortify SCA，并让***运行扫描并为您审核结果：

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。·迅速、准确定位某一特定安全漏洞所在的源代码行，对问题产生的整个过程进行跟踪，并能以图形化的形式展现。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或***的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者***舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的***近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。·对工具和安全代码规则可以进行集中配置和管理，使分散在不同地点的测试机统一更新，提高了效率，保证了版本的一致性。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。