fortify规则库-苏州华克斯

FortifySCA与强化SSC之间的差异

Fortify SCA和Fortify SSC有什么区别？这些软件产生的报告是否有差异。我知道Fortify SSC是一个基于网络的应用程序。我可以使用Fortify SCA作为基于Web的应用程序吗？

Fortify SCA以前被称为源代码分析器（在fortify 360中），但现在是静态代码分析器。相同的首字母缩略词，相同的代码，只是名字改变了。

SSC（“软件安全中心”）以前称为Fortify 360 Server。惠普重新命名并进行了其他更改。

SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码（通过sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打开该文件，或将其上传到SSC，您可以在其中跟踪趋势。

审计工作台与SCA一起安装;它是一个图形应用程序，允许您查看扫描结果，添加审核数据，应用过滤器和运行简单报告。

另一方面，SSC是基于网络的;这是一个可以安装到tomcat或您喜欢的应用程序服务器的java。关于SSC的报告使用不同的技术，更适he运行集中度量。您可以报告特定扫描的结果，或历史记录（当前扫描与之前的扫描之间发生变化）。如果您想要扫描扫描的差异，趋势，历史等，请在上传FPR一段时间后使用SSC进行报告。

没有SSC，基本报告功能允许您将FPR文件（二进制）转换为xml，pdf或rtf，源代码扫描工具fortify规则库，但只能给出特定扫描的结果，而不是历史记录（当前扫描和任何早期的）。

关闭主题：还有一个动态分析产品HP WebInspect。该产品还能够导出FPR文件，可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描，WebInspect Enterprise可以做到这一点。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，源代码审计工具fortify规则库，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，fortify规则库，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

Fortify软件

强化静态代码分析器

使软件更快地生产

如何解决Fortify报告的扫描问题

已经注意到以下错误消息，但是软件保障计划办公室还没有关于如何解决这些问题的指导。建议尝试使用以下步骤解决这些问题：

生成日志文件并查看它以获取有关该问题的更多信息

打开支持票帮助

联系Fortify技术支持（fortifytechsupport@）寻求帮助

如果这些步骤无法解决问题，源代码检测工具fortify规则库，请将您与Fortify技术支持部门的通讯连同V＆V安全代码审查资料一起提供，并在准备报告时将其纳入考量

请注意，这不是错误消息的完整列表，并将更多地变得更加广泛：

错误代码

错误信息

笔记

1意外的异常：高阶分析不适用

101文件。 。 。没有找到N / A

1002，1003解析文件N / A时出现意外的异常

1005数据流分析期间的意外异常N / A

1009构建调用图N / A时出现意外异常

1038初始分析阶段N / A中出现意外异常

1142在内部存储器管理期间发生意外错误。扫描将继续，但内存可能会迅速耗尽，扫描结果可能不完整。 N / A

1202无法解析符号。 。 。 N / A

1207配置文件。 。 。无法找到网络应用程序N / A

1211无法解析类型N / A

1213无法解析字段N / A

1216无法找到导入（？）N / A

1227尝试加载类路径存档时发生异常...文件可能已损坏或无法读取。 N / A

1228属性文件。 。 。以连续标记结束。该文件可能已损坏。 N / A

1232格式错误或IO异常阻止了类文件。 。 。从被读取不适用

1236无法将以下aspx文件转换为分析模型。 N / A

1237以下对java符号的引用无法解决。某些实例可以通过调整提供给Fortify的类路径来解决，但是在所有情况下都不能解决此问题。

1551，1552多个ColdFusion错误（无法解析组件，找不到函数，意外令牌等）可以与使用不支持的ColdFusion版本相关。

12002找不到Web应用程序的部署描述符（web.xml）。 N / A

12004 Java前端无法解析以下包含N / A

12004 Python前端无法解析以下导入N / A

13509规则脚本错误可能是Fortify错误，但需要确认

某些错误消息可能是Fortify工具中的问题的结果。确认的问题以及如何处理这些问题，都会发布在OISSWA博客中，以及有关解析/语法错误的技术说明。已确认的Fortify问题也在本页顶部的表格中注明。

如果您在解决警告或错误消息时遇到问题，请参阅我们的常见问题解答以获取有关打开支持票证的信息。

参考

参见参考技术说明