源代码检测工具fortify采购-华克斯-fortify采购

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

HP Fortify SCA，Lucent Sky AVM以及法规遵循

如果你的组织的法规遵循要求要修正HP Fortify SCA找到的所有结果（或是符合特定条件的结果，例如严重和高风险），Lucent Sky AVM可以被调整来找一一的结果，并提供更多的功能 - 修正达90％的弱点。

有效果的报告

许多静态程序码扫描工具是由资讯安全所设计来给其他的资讯安全使用。因此，它们需要人士操作，而且产出的报告和结果难以实际帮助。Lucent Sky AVM提供为开发提供分析结果以及即时修复（能够直接修正如跨站脚本和SQL注入等常见弱点的程式码片段），让不是资讯安全的使用者能够使用强化程式码的安全。

对于需要法规遵循报告的企业来说，Lucent Sky AVM能协助开发与资讯安全团队通过HP Fortify SCA的检测并减少误报带来的困扰，fortify采购，同时大幅地降低强化应用程序安全所需要的时间和精力。进一步了解Lucent Sky AVM和静态程序码扫描工具报告的差别，请报告比较表。

修正HP Fortify SCA报告中的弱点可以轻松快速

申请测试来亲自体验Lucent Sky AVM。想知道Lucent Sky AVM可以如何在你的环境中和HP Fortify SCA共享，别再等了！

Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

Fortify SCA 5.0设置了一个全mian的新酒吧

Fortify SCA 5.0通过分析360技术增强了行业领xian的分析仪功能，可以处理安全开发面临的da问题，以及新的不断发展的攻击。通过分析360，Fortify SCA减少了错误的否定，以确保没有错过，同时da限度地减少误报，所以开发侧重于关键的代码问题。使用Fortify SCA 5.0，已经添加或增强了分析功能，以提高精度，包括：

- 多维色彩传播 - 此功能有助于

找到远程可利用的错误，这对于查找特别有用

隐私管理故障和其他与PCI有关的错误。

- 基于约束的漏洞排名 - 提取一组布尔值

来自代码的约束方程，并使用约束求解器进行排序

错误的编码实践可能被利用的可能性的。

- 过程间数据流分析 - 使用有限状态自动机

通过代码模拟可能的执行路径。

- 关联故障诊断 - 允许用户消除整个

通过将跟随相同的结果相关联的假阳性类

代码模式。

Fortify SCA 5.0增加了对四种新编程语言的支持

- 经典ASP - 今天，成千上万的遗留应用程序写入

经典的ASP需要针对普通的，的

漏洞，如SQL注入和跨站点脚本。

- COBOL - 几十年前发明 - 在应用程序安全性之前很久

COBOL的重要性随着企业曝光而重新浮出水面

系统通过面向服务架构（SOA）的举措。

- JavaScript - 今天，JavaScript可能是增长快的编程

语言 - 其安全问题已经有很好的记录 - 包括

Fortify发现JavaScript劫持。

- PHP - 近的扬基集团报告“Web 2.0安全列车残骸”

（Andrew Jaquith，2017年10月），引用“几个流行应用程序”

基于PHP框架，源代码扫描工具fortify采购，如phpBB，具有惊人的安全性

跟踪记录，“补充说，”PHP开发人员往往是“scripters”

没有正式的安全培训。“强化SCA 5.0给了大的和

越来越多的PHP开发人员自动清理系统代码。

要了解有关Fortify SCA 5.0的更多信息，请于11月13日上午11点至12点举行Fortify网络研讨会“强化SCA 5.0：无边界应用安全”。 Pacific，华克斯。

关于Fortify Software，Inc.

Fortify?软件产品可以保护企业免受关键业务软件应用程序安全漏洞所带来的威胁。其软件安全产品 - Fortify SCA，Fortify Manager，Fortify Tracer和Fortify Defender - 通过自动化开发和部署安全应用程序的关键流程降低成本和安全风险。 Fortify Software的客户包括机构和财富500强企业，如金融服务，医liao保健，电子商务，电信，出版，保险，系统集成和信息管理。该公司得到世界ji软件安全和合作伙伴的支持。更多信息，

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，源代码审计工具fortify采购，并且它总是返回'true'。

函数f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.rs包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则