Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書(shū)?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

我們的貢獻(xiàn)：強(qiáng)制性的SCA規(guī)則

為了檢測(cè)上述不安全的用法，我們?cè)贖P Fortify SCA的12個(gè)自定義規(guī)則中對(duì)以下檢查進(jìn)行了編碼。這些規(guī)則確定了依賴(lài)于JSSE和Apache HTTPClient的代碼中的問(wèn)題，因?yàn)樗鼈兪呛窨蛻舳撕虯ndroid應(yīng)用程序的廣泛使用的庫(kù)。

超許可主機(jī)名驗(yàn)證器：當(dāng)代碼聲明一個(gè)HostnameVerifier時(shí)，該規(guī)則被觸發(fā)，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過(guò)度允許的信任管理器：當(dāng)代碼聲明一個(gè)TrustManager并且它不會(huì)拋出一個(gè)CertificateException時(shí)觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機(jī)名驗(yàn)證：當(dāng)代碼使用低級(jí)SSLSocket API并且未設(shè)置HostnameVerifier時(shí)，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義主機(jī)名驗(yàn)證器時(shí)，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義SSLSocketFactory時(shí)，該規(guī)則被觸發(fā)。

我們決定啟動(dòng)“經(jīng)常被濫用”的規(guī)則，因?yàn)閼?yīng)用程序正在使用API，并且應(yīng)該手動(dòng)審查這些方法的重寫(xiě)。

規(guī)則包可在Github上獲得。這些檢查應(yīng)始終在源代碼分析期間執(zhí)行，以確保代碼不會(huì)引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評(píng)論關(guān)閉|分享文章分享文章

標(biāo)簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

資源

新聞稿

應(yīng)用安全解決方案可以保護(hù)SDLC for Devops

學(xué)到更多

分析報(bào)告

保護(hù)您的Web應(yīng)用程序有多好？

（PDF 744KB）

學(xué)到更多

小冊(cè)

將應(yīng)用程序安全性構(gòu)建到整個(gè)SDLC中

（PDF 3.21 MB）

學(xué)到更多

在線評(píng)估

你的安全行動(dòng)有多成熟？

學(xué)到更多

白皮書(shū)

采取協(xié)作方式的IT安全

白皮書(shū)

白皮書(shū)

違約回應(yīng)：為不可避免的準(zhǔn)備

白皮書(shū)

相關(guān)應(yīng)用安全產(chǎn)品與服務(wù)

脆弱性研究

安全研究

創(chuàng)新的脆弱性研究作為可操作的安全智能。

學(xué)到更多

SIEM

ArcSight ESM

確定安全事件的優(yōu)先級(jí)，以保護(hù)您的業(yè)務(wù)。

學(xué)到更多

企業(yè)安全培訓(xùn)

企業(yè)安全大學(xué)

指導(dǎo)，優(yōu)化您的安全操作和您的安全投資。

學(xué)到更多

企業(yè)安全咨詢

安全咨詢服務(wù)

咨詢服務(wù)，源代碼掃描工具fortify版本，幫助您充分利用您在HPE安全解決方案方面的投資。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

如何修正HP Fortify SCA報(bào)告中的弱點(diǎn)？

HP Fortify SCA，Lucent Sky AVM以及法規(guī)遵循

如果你的組織的法規(guī)遵循要求要修正HP Fortify SCA找到的所有結(jié)果（或是符合特定條件的結(jié)果，例如嚴(yán)重和高風(fēng)險(xiǎn)），源代碼審計(jì)工具fortify版本，Lucent Sky AVM可以被調(diào)整來(lái)找一一的結(jié)果，并提供更多的功能 - 修正達(dá)90％的弱點(diǎn)。

有效果的報(bào)告

許多靜態(tài)程序碼掃描工具是由資訊安全所設(shè)計(jì)來(lái)給其他的資訊安全使用。因此，它們需要人士操作，源代碼檢測(cè)工具fortify版本，而且產(chǎn)出的報(bào)告和結(jié)果難以實(shí)際幫助。Lucent Sky AVM提供為開(kāi)發(fā)提供分析結(jié)果以及即時(shí)修復(fù)（能夠直接修正如跨站腳本和SQL注入等常見(jiàn)弱點(diǎn)的程式碼片段），華北fortify版本，讓不是資訊安全的使用者能夠使用強(qiáng)化程式碼的安全。

對(duì)于需要法規(guī)遵循報(bào)告的企業(yè)來(lái)說(shuō)，Lucent Sky AVM能協(xié)助開(kāi)發(fā)與資訊安全團(tuán)隊(duì)通過(guò)HP Fortify SCA的檢測(cè)并減少誤報(bào)帶來(lái)的困擾，同時(shí)大幅地降低強(qiáng)化應(yīng)用程序安全所需要的時(shí)間和精力。進(jìn)一步了解Lucent Sky AVM和靜態(tài)程序碼掃描工具報(bào)告的差別，請(qǐng)報(bào)告比較表。

修正HP Fortify SCA報(bào)告中的弱點(diǎn)可以輕松快速

申請(qǐng)測(cè)試來(lái)親自體驗(yàn)Lucent Sky AVM。想知道Lucent Sky AVM可以如何在你的環(huán)境中和HP Fortify SCA共享，別再等了！

源代碼審計(jì)工具fortify版本-蘇州華克斯信息由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司位于蘇州工業(yè)園區(qū)新平街388號(hào)。在市場(chǎng)經(jīng)濟(jì)的浪潮中拼博和發(fā)展，目前華克斯在行業(yè)軟件中享有良好的聲譽(yù)。華克斯取得全網(wǎng)商盟認(rèn)證，標(biāo)志著我們的服務(wù)和管理水平達(dá)到了一個(gè)新的高度。華克斯全體員工愿與各界有識(shí)之士共同發(fā)展，共創(chuàng)美好未來(lái)。