企业等级: | 商盟会员 |
经营模式: | 商业服务 |
所在地区: | 江苏 苏州 苏州市 |
联系卖家: | 华克斯 先生 |
手机号码: | 13862561363 |
公司官网: | hksxxkj.tz1288.com |
公司地址: | 苏州工业园区新平街388号 |
Fortify软件
强化静态代码分析器
使软件更快地生产
资源
新闻稿
应用安全解决方案可以保护SDLC for Devops
学到更多
分析报告
保护您的Web应用程序有多好?
(PDF 744KB)
学到更多
小册
将应用程序安全性构建到整个SDLC中
(PDF 3.21 MB)
学到更多
在线评估
你的安全行动有多成熟?
学到更多
白皮书
采取协作方式的IT安全
白皮书
白皮书
违约回应:为不可避免的准备
白皮书
相关应用安全产品与服务
脆弱性研究
安全研究
创新的脆弱性研究作为可操作的安全智能。
学到更多
SIEM
ArcSight ESM
确定安全事件的优先级,以保护您的业务。
学到更多
企业安全培训
企业安全大学
指导,优化您的安全操作和您的安全投资。
学到更多
企业安全咨询
安全咨询服务
咨询服务,帮助您充分利用您在HPE安全解决方案方面的投资。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
安全套接字层(SSL / TLS)是使用加密过程提供身份验证,机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份,必须交换和验证X.509证书。一方当事人进行身份验证后,协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数,保证了数据的完整性。
当使用SSL / TLS时,必须执行以下两个步骤,以确保中间没有人篡改通道:
证书链信任验证:X.509证书指ding颁发证书的证书颁发机构(CA)的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书,没有违规,则验证成功。
主机名验证:建立信任链后,客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。
当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时,可能会发生以下错误使用情况。
证明所有证书
应用程序实现一个自定义的TrustManager,使其逻辑将信任每个呈现的服务器证书,而不执行信任链验证。
TrustManager [] trustAllCerts = new TrustManager [] {
新的X509TrustManager(){
...
public void checkServerTrusted(X509Certificate [] certs,
String authType)源代码扫描工具fortify报告中文插件
}
这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验,我们通常会发现开发人员完全禁用证书验证,而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。
当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的安全感,因为它不会检测烟雾(不可信方)。实际上,当客户端连接到服务器时,验证例程将乐意接受任何服务器证书。
在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上,一些问题询问如何忽略证书错误,源代码扫描工具fortify报告中文插件,获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何信任管理。
Fortify软件
强化静态代码分析器
使软件更快地生产
如何修正HP Fortify SCA报告中的弱点?
常见的静态程序码扫描工具(又称原始码检测,贵州fortify报告中文插件,白箱扫描),例如HP Fortify SCA,源代码审计工具fortify报告中文插件,被许多企业用来提高资讯安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢?
对于许多来说,HP Fortify SCA的报告被视为麻烦制造者,因为它们虽然指出了弱点(不论是真的或是误报),但却没有提供任何修正这些弱点的方法。
有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢?
Lucent Sky AVM和静态程序码扫描工具一样会指出弱点,同时提供即时修复 - 一段安全的程式码片段,能够直接插入程式码中来修正跨站脚本(XSS),SQL注入和路径处理这些常见的弱点。
以.NET(C#和VB.NET)和Java应用程式来说,Lucent Sky AVM可以修正达90%所找到的弱点。
一起使用HP Fortify SCA和Lucent Sky AVM
HP Fortify SCA只会告诉你弱点在哪里,而Lucent Sky AVM会指出它们的位置以及修正方式(并且实际为你修正他们,你喜欢的话)HP Fortify SCA是被设计来供资安人士使用,因此设计理念是找出大量的结果,再依赖资讯安全来移除其中的误报.Lucent Sky AVM则是专注于找出会真正影响应用程式安全的弱点,并依照你或你的开发与资讯安全团队的设定来可靠的修正这些弱点。你可以深入了解Lucent Sky AMV的修正流程。
贵州fortify报告中文插件-苏州华克斯信息由苏州华克斯信息科技有限公司提供。行路致远,砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴,更矢志成为行业软件具有竞争力的企业,与您一起飞跃,共同成功!苏州华克斯信息科技有限公司 电话:0512-62382981 传真:0512-62382981 联系人:华克斯 13862561363
地址:苏州工业园区新平街388号 主营产品:Loadrunner,Fortify,源代码审计,源代码扫描
Copyright © 2024 版权所有: 天助网 增值电信业务经营许可证:粤B2-20191121
免责声明:以上所展示的信息由企业自行提供,内容的真实性、准确性和合法性由发布企业负责。天助网对此不承担任何保证责任。
您好,欢迎莅临华克斯,欢迎咨询...