企业等级: | 商盟会员 |
经营模式: | 商业服务 |
所在地区: | 江苏 苏州 苏州市 |
联系卖家: | 华克斯 先生 |
手机号码: | 13862561363 |
公司官网: | hksxxkj.tz1288.com |
公司地址: | 苏州工业园区新平街388号 |
发布时间:2022-03-07 04:12:00 作者:华克斯
Fortify软件
强化静态代码分析器
使软件更快地生产
阅读强力手册
安全开发
开发人员编写代码时,尽可能早地确保修复。 DevInspect和静态代码分析器(在Premise)和Fortify on Demand将持续的安全测试和反馈直接传递给开发人员桌面。
安全测试
使静态和动态应用程序安全测试的自动化成为工作流程的一个自然部分。 软件安全中心和Fortify on Demand从一个界面提供企业级安全管理功能。
持续监控和保护
生产应用造成***da的威胁。 持续监控应用程序风险的变化,执行深度安全扫描,并与Fortify on Demand and Application Defender实时保护应用程序。
HI-RES-290926_1.jpg
HPE Security Fortify仍然是应用程序安全测试的***。
了解Gartner所说的话
如何解决Fortify报告的扫描问题
已经注意到以下错误消息,但是软件保障计划办公室还没有关于如何解决这些问题的指导。建议尝试使用以下步骤解决这些问题:
生成日志文件并查看它以获取有关该问题的更多信息
打开支持票帮助
联系Fortify技术支持(fortifytechsupport@hpe.com)寻求帮助
如果这些步骤无法解决问题,请将您与Fortify技术支持部门的通讯连同V&V安全代码审查资料一起提供,并在准备报告时将其纳入考量
请注意,这不是错误消息的完整列表,并将更多地变得更加广泛:
错误代码
错误信息
笔记
1意外的异常:高阶分析不适用
101文件。 。 。没有找到N / A
1002,1003解析文件N / A时出现意外的异常
1005数据流分析期间的意外异常N / A
1009构建调用图N / A时出现意外异常
1038初始分析阶段N / A中出现意外异常
1142在内部存储器管理期间发生意外错误。扫描将继续,但内存可能会迅速耗尽,扫描结果可能不完整。 N / A
1202无法解析符号。 。 。 N / A
1207配置文件。 。 。无法找到网络应用程序N / A
1211无法解析类型N / A
1213无法解析字段N / A
1216无法找到导入(?)N / A
1227尝试加载类路径存档时发生异常...文件可能已损坏或无法读取。 N / A
1228属性文件。 。 。以连续标记结束。该文件可能已损坏。 N / A
1232格式错误或IO异常阻止了类文件。 。 。从被读取不适用
1236无法将以下aspx文件转换为分析模型。 N / A
1237以下对java符号的引用无法解决。某些实例可以通过调整提供给Fortify的类路径来解决,但是在所有情况下都不能解决此问题。
1551,1552多个ColdFusion错误(无法解析组件,找不到函数,意外令牌等)可以与使用不支持的ColdFusion版本相关。
12002找不到Web应用程序的部署描述符(web.xml)。 N / A
12004 Java前端无法解析以下包含N / A
12004 Python前端无法解析以下导入N / A
13509规则脚本错误可能是Fortify错误,但需要确认
某些错误消息可能是Fortify工具中的问题的结果。确认的问题以及如何处理这些问题,都会发布在OISSWA博客中,以及有关解析/语法错误的技术说明。已确认的Fortify问题也在本页顶部的表格中注明。
如果您在解决警告或错误消息时遇到问题,请参阅我们的常见问题解答以获取有关打开支持票证的信息。
参考
参见参考技术说明
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
我们的贡献:强制性的SCA规则
为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回'true'。
<谓词>
<![CDATA [
函数f:f.name是“verify”和f.enclosingClass.supers
包含[Class:name ==“javax.net.ssl.HostnameVerifier”]和
f.parameters [0] .type.name是“java.lang.String”和
f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和
f.returnType.name是“boolean”,f包含
[ReturnStatement r:r.expression.c***tantValue matches“true”]
]]>
</谓词>
过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
函数f:f.name是“checkServerTrusted”和
f.parameters [0] .type.name是“java.security.cert.X509Certificate”
和f.parameters [1] .type.name是“java.lang.String”和
f.returnType.name是“void”而不是f包含[ThrowStatement t:
t.expression.type.definition.supers包含[Class:name ==
“(javax.security.cert.CertificateException | java.security.cert.CertificateException)”]
缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。
经常被误用:自定义HostnameVerifier:当代码使用***HttpsURLConnection API并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义SSLSocketFactory:当代码使用***HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。
我们决定启动“经常被滥用”的规则,因为应用程序正在使用***API,并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。
http://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则
免责声明:以上信息由会员自行提供,内容的真实性、准确性和合法性由发布会员负责,天助网对此不承担任何责任。天助网不涉及用户间因交易而产生的法律关系及法律纠纷, 纠纷由您自行协商解决。
风险提醒:本网站仅作为用户寻找交易对象,就货物和服务的交易进行协商,以及获取各类与贸易相关的服务信息的平台。为避免产生购买风险,建议您在购买相关产品前务必 确认供应商资质及产品质量。过低的价格、夸张的描述、私人银行账户等都有可能是虚假信息,请采购商谨慎对待,谨防欺诈,对于任何付款行为请您慎重抉择!如您遇到欺诈 等不诚信行为,请您立即与天助网联系,如查证属实,天助网会对该企业商铺做注销处理,但天助网不对您因此造成的损失承担责任!
联系:tousu@tz1288.com是处理侵权投诉的专用邮箱,在您的合法权益受到侵害时,欢迎您向该邮箱发送邮件,我们会在3个工作日内给您答复,感谢您对我们的关注与支持!
苏州华克斯信息科技有限公司 电话:0512-62382981 传真:0512-62382981 联系人:华克斯 13862561363
地址:苏州工业园区新平街388号 主营产品:Loadrunner,Fortify,源代码审计,源代码扫描
Copyright © 2024 版权所有: 天助网 增值电信业务经营许可证:粤B2-20191121
免责声明:以上所展示的信息由企业自行提供,内容的真实性、准确性和合法性由发布企业负责。天助网对此不承担任何保证责任。
您好,欢迎莅临华克斯,欢迎咨询...