fortify一年多少钱-苏州华克斯

Fortify SCA 的工作原理：

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码（如 JAVA，源代码扫描工具fortify一年多少钱，C/C++源代码）转换成一种中间媒体文件 NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。形成 包含详细漏洞信息的 FPR 结果文件，用 AWB 打开查看。

Fortify软件

强化静态代码分析器

使软件更快地生产

强化SCA Visual Studio插件

注意：此插件随SCA_and_Tools安装程序一起提供。

用于Visual Studio的HPE Security Fortify软件包（完整软件包）。完整软件包使用HPE Security Fortify静态代码分析器（SCA）和HPE Security Fortify安全编码规则包来定位解决方案和项目中的安全漏洞（包括对以下语言的支持：C / C ++，C＃，Visual Basic .NET和ASP 。净）。扫描结果显示在Visual Studio中，并包括未被覆盖的问题列表，每个问题所代表的漏洞类型的说明以及有关如何解决这些问题的建议。您可以扫描您的代码，审核分析结果，并修复此完整包的问题。

用于Visual Studio的HPE Security Fortify修复包（修复包）。修复软件包与HPE Security Fortify软件安全中心（SSC）协同工作，fortify一年多少钱，为您的软件安全分析添加补救功能。安装修复软件包后，您可以连接到软件安全中心，并从Visual Studio解决代码中的安全相关问题。您的组织可以使用软件安全中心的修复软件包来管理应用程序，并将具体问题分配给正确的开发人员。修复包专注于修复阶段，使开发人员能够查看报告的漏洞并实施适当的解决方案。

用于Visual Studio的HPE安全扫描包（扫描包）。扫描包使您能够通过Visual Studio在项目和解决方案上使用MSBuild运行SCA扫描。它是一个“轻量级”软件包，它在Visual Studio IDE中占用的空间非常小，仅用于在源代码上配置和运行扫描。扫描包可以解决您的解决方案和项目中的安全漏洞。您可以将扫描结果（FPR文件）上传到软件安全中心，或者在HPE Security Fortify AuditWorkbench中打开它们进行审核。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，源代码扫描工具fortify一年多少钱，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，源代码检测工具fortify一年多少钱，identityAlg，isClient，

getRequestedServerNames（发动机））;

}

...

}

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭