fortify sca网站-华克斯(商家)

fortify软件

强化静态代码分析器

使软件更快地生产

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则---

我们的贡献：强制性的sca规则

为了检测上述不安全的用法，我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题，因为它们是厚---和android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个hostnameverifier时，该规则被触发，并且它总是返回true。

<谓词>;

 <！[cdata [

函数f：f.name是“verify”和f.enclosingclass.supers

包含[class：name ==“javax.net.ssl.hostnameverifier”]和

f.parameters [0] .type.name是“java.lang.string”和

f.parameters [1] .type.name是“javax.net.ssl.sslsession”和

f.returntype.name是“boolean”，f包含

[returnstatement r：r.expression.constantvalue m---hes“true”]

 ]]>;

;

过度允许的---管理器：当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。

<谓词>;

 <！[cdata [

函数f：f.name是“checkservertrusted”和

f.parameters [0] .type.name是“java.security.cert.x509certificate”

和f.parameters [1] .type.name是“java.lang.string”和

f.returntype.name是“void”而不是f包含[throwstatement t：

t.expression.type.definition.supers包含[class：name ==

“（javax.security.cert.certificateexception | java.security.cert.certificateexception）”]

 ]]>;

;

缺少主机名验证：当代码使用低级sslsocket api并且未设置hostnameverifier时，fortify sca服务，将触发该规则。

经常被误用：自定义hostnameverifier：当代码使用---httpsurlconnection api并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义sslsocketfactory：当代码使用---httpsurlconnection api并且它设置自定义sslsocketfactory时，该规则被触发。

我们决定启动“经常被---”的规则，因为应用程序正在使用---api，并且应该手动---这些方法的重写。

规则包可在github上获得。这些检查应始终在源代码分析期间执行，以---代码不会引入不安全的ssl / tls使用。

https://github.com/gdssecurity/jsse_fortify_sca_rules

authorandrea scaduto |---关闭|分享文章分享文章

标签tagcustom规则，categoryapplication安全性中的tagsdl，categorycustom规则

fortify软件

强化静态代码分析器

使软件更快地生产

企业需要---的方法来加速sdlc，。 fortify sca提供增量扫描，可提供更快的扫描时间和结果，提高生产力，从而实现更多扫描，并通过更快地发布应用程序来保持竞争力。

学到更多

软件安全错误分类

为了帮助开发人员了解导致安全漏洞的编码错误的常见类型，fortify的研究团队创建了“七恶---国”，它将组织的漏洞统一起来，将其映射到行业标准。

在一个集中管理存储库中查看应用程序安全程序

fortify软件安全中心提供整个应用程序安全程序的可见性，以帮助解决整个软件组合中的漏洞。它通过仪表板和报告测量效率，准确性和价值，利用sdlc上的应用程序安全数据的---功能。