fortify软件
强化静态代码分析器
使软件更快地生产
转移景观
语言支持也得到了扩展,完全支持php,javasc ript,cobol以及所有添加到版本5的asp和basic的classic-non-.net版本。fortify sca以---直支持c#,fortify sca价格,vb.net,java和c / c ++,coldfusion和存储过程语言,如microsoft tsql和oracle pl / sql。
“从基于com的语言到.net版本的迁移速度并没有像我们以前那样快,”meftah解释说。 “这些com语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
sans institute互联网风暴中心---研究员johannes ullrich表示,fortify 代码扫描,fortify sca等代码分析工具对于成长型企业开发商店---。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,hp fortify 价格,通常只适用于大型企业项目,”ullrich说。 “这是一个---的时间保护,fortify,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码---。
fortify sca旨在与现有工具和ide集成,包括microsoft visual studio,eclipse和ibm rapid application developer(rad)。基于java的套件运行在各种操作系统上,包括windows,linux,mac os x和各种各样的unix。
---的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(michael desmond)是1105媒体企业计算组织的编辑兼作家。
fortify软件
强化产品包括静态应用程序安全测试[11]和动态应用程序安全测试[12]产品,以及在软件应用程序生命周期内支持软件安全保障或可重复和可审计的安全行为的产品和服务。 13]
2011年2月,fortify还---了fortify ondemand,一个静态和动态的应用程序测试服务。[14]
静态代码分析工具列表
hp webinspect
惠普---稿:“惠普完成fortify软件的收购,加速应用程序生命周期安全”2010年9月22日。
跳转软件搜索安全漏洞(英文),pcworld.com,2004年4月5日
2004年4月5日,跳起来加强软件的新方法
跳起来^桑德,保罗;贝克,莉安娜b.(08-09-08)。 “惠普企业与micro focus软件资产交易达88亿美元。”路透社。已取消2010-09-13
跳起来^“开源社区的和解决方案”于2016年3月4日在wayback机上归档。
跳起来^“软件安全错误”归档2012年11月27日,在wayback机。
跳起来“javasc ript---”于2015年6月23日在wayback机上存档。
跳起来^“通过交叉构建注入攻击构建”
跳起来“看你所写的:通过观察节目输出来防止跨站---”
跳起来^“动态污染传播”
跳起来强化sca
跳起来^ fortify runtime
惠普强化治理
跳高^ sd times,“惠普建立了安全即服务”2011年2月15日。
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,f包含
[returnstatement r:r.expression.constantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用---httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用---httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用---api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,categorycustom规则
hp fortify 价格-华克斯-fortify由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“loadrunner,fortify,源代码审计,源代码扫描”等业务,公司拥有“loadrunner,fortify,webinspect”等品牌,---于行业---软件等行业。欢迎来电垂询,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/216723928.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号