华东fortify扫描-苏州华克斯

Fortify软件

Fortify g

类型

前独立软件厂商

行业计算机软件

类型软件

公司成立2003

Kleiner创始人Ted Schlein，Perkins，Caufield＆Byers，Mike Armistead，源代码审计工具fortify扫描，Brian Chess，源代码检测工具fortify扫描，Arthur Do，Roger Thornton

总部圣马特奥，加利福尼亚州，美国

关键人物

约翰·杰克（前执行官），雅各布·西（安全研究小组组长），源代码审计工具fortify扫描，布莱恩·国际象棋（前科学家），亚瑟·杜（前总裁）

业主Hewlett Packard Company

网站

HP软件安全网页和

HP Fortify软件安全中心服务器

Fortify软件，后来被称为Fortify Inc.，是一家位于加利福尼亚州的软件安全供应商，成立于2003年，由惠普在2010年收购[1]，成为惠普企业安全产品的一部分[2] [3]

2010年9月7日，HPE执行官梅格·惠特曼（Meg Whitman）宣布，包括Fortify在内的Hewlett Packard Enterprise的软件资产将与Micro Focus合并，以创建一个独立的公司，惠普企业股东将保留多数所有权。微焦点执行官凯文·洛西莫尔（Kevin Loosemore）称这项交易“完全符合我们既定的收购策略，并将重点放在成熟基础设施产品的有效管理上”，并表示Micro Focus旨在“为成熟资产带来盈利空间 - 约80百分之一 - 从今天的百分之二十一微科技在三年内现有的46％的水平。“[4]

技术咨询weiyuanhui

Fortify的技术咨询weiyuanhui由Avi Rubin，Bill Joy，David A. Wagner，Fred Schneider，Gary McGraw，Greg Morrisett，Li Gong，Marcus Ranum，Matt Bishop，William Pugh和John Viega组成。

安全研究

除了Fortify的分析软件的安全规则外，Fortify还创建了一个维护Java Open Review项目[5]和Vulncat安全漏洞分类的安全研究小组。[6]小组成员写了这本书，安全编码与静态分析，并发表了研究，包括JavaScript劫持，[7]攻击构建：交叉构建注入，[8]观察你写的：通过观察程序输出来防止跨站点脚本[9]和动态趋势传播：找不到攻击的脆弱性[10]

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

fortifySCA审计功能要求

·

对安全漏洞扫描结果进行汇总，并按照问题的严重性和可能性进行级别的合理划分。如Critical，华东fortify扫描，High，Medium，Low四个级别。

·

用户能够根据企业自身需要来调整和修改问题的默认分级策略，方便审计。

·

迅速、准确定位某一特定安全漏洞所在的源代码行，对问题产生的整个过程进行跟踪，并能以图形化的形式展现。

·

提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。

·

提供与之前扫描结果的比较，指出本次扫描出来的新问题，并且能够与以前的审计结果进行合并，减少重复审计工作。

·

支持按文件名、API、漏洞类型、严重等级等进行分类、过滤、查询、统计。支持对漏洞信息的全文检索功能，可以从其中快速检索到指ding类别或者名称的漏洞信息。