fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,f包含
[returnstatement r:r.expression.constantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用---httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用---httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用---api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,categorycustom规则
fortify软件
强化静态代码分析器
使软件更快地生产
资源的
数据表
通过早期安全测试构建---的代码
(pdf 260 kb)
学到更多
解决方案简介
使用fortify sca保护您的企业软件
(pdf 489 kb)
学到更多
---软件
立即开始您的webinspect---版
学到更多
视频
denim group加强了fortify的应用
(2.26分钟)
看视频
相关产品,解决方案和服务
应用安全测试
按需加强
应用安全即服务。
学到更多
软件安全
fortify软件安全中心
管理整个安全sdlc的软件风险 - 从开发到---和生产。
学到更多
dast
强化webinspect
自动化的动态安全测试工具,以查找和优先考虑可利用的网络漏洞。
学到更多
移动安全
移动应用安全
将您的移动堆栈从设备保护到网络通信到服务器。
学到更多
安全情报服务
威胁防御服务
发现并实施针对您的企业da威胁的有针对性的解决方案。
学到更多
应用安全
强化应用安全性
静态和动态应用程序安全测试,以便在利用漏洞之前查找和修复漏洞。
学到更多
应用安全软件
软件安全---
使您的软件免受攻击。
学到更多
参与我们的应用安全社区
保护您的资产博客
获得it安全洞察力,在各地的攻击者面前保护您的业务。
保护您的资产博客
安全研究博客
获得---的研究,观察和更新,以帮助您主动识别威胁和管理风险。
安全研究博客
protect724社区
加入hpe安全社区,共享,搜索,协作解决方案并获得反馈。
protect724社区
twitter上的hpe security
获取关于混合环境风险的xin推文,并防御---威胁。
twitter上的hpe security
linkedin上的hpe security
与---联系,并讨论混合环境中新威胁和风险的xin信息。
linkedin上的hpe security
facebook上的hpe软件
与同行和---一起讨论如何使hpe软件为您工作。
facebook上的hpe软件
google+上的hpe软件
讨论如何使您的企业应用程序和信息为您工作的xin信息。
google+上的hpe软件
hpe业务洞察
获得来自it---者的战略见解,帮助他人定义,测量和实现---的it表现。
hpe业务洞察
fortify软件
强化静态代码分析器
使软件更快地生产
语义本分析仪在程序级别检测功能和api的潜在危险用途。基本上是一个聪明的grep。
配置此分析器在应用程序的部署配置文件中搜索错误,弱点和策略---。
缓冲区此分析仪检测缓冲区溢出漏洞,fortify sca,涉及写入或读取比缓冲区容纳的更多数据。
分享这个---
于十二月二十四日十二时十七分
感谢你非常有用的信息。你知道这些分析仪在内部工作吗?如果您提供一些细节,我将非常感谢。 - 新手十二月2712 at 4:22
1
有一个---的,但干燥的书的主题:amazon.com/secure-programming-static----ysis-brian/dp/... - lajmon nov 8 12 at 16:09
现在还有一个内容分析器,尽管这与配置分析器类似,除非在非配置文件中搜索问题(例如查找html,jsp for xpath匹配) - lavamunky 11月28日13日11:38
@lajmon有一个---的---,但在完全不同的抽象层次,我可以用另一种方式回答这个问题:
您的源代码被转换为中间模型,该模型针对sca的分析进行了优化。
某些类型的代码需要多个阶段的翻译。例如,需要先将c#文件编译成一个debug.dll或---文件,然后将该.net二进制文件通过.net sdk实用程序ildasm---反汇编成microsoft intermediate language(msil)。而像其他文件(如java文件或asp文件)由相应的fortify sca翻译器一次翻译成该语言。
sca将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。
匹配被写入fpr文件,漏洞匹配信息,安全建议,源代码,源交叉引用和代码导航信息,用户过滤规范,任何自定义规则和数字签名都压缩到包中。
fortify sca课程-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司(www.sinocax.com)位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业---软件中享有---的声誉。华克斯取得商盟,我们的服务和管理水平也达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/208878273.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号