fortify sca 支持的开发语言
xml
12. c/c++
13. php
14. t-sql (mssqldb)
15. pl/sql(oracledb)
16. actionsc ript
17. objective-c(iphone)
18.coldfusion
19.python
fortify
sca支持扫描字节码(java源代码编译之后的形式),支持class文
件、jar文件。
2. fortify
sca全mian支持ruby语言
3. fortify
sca支持xin版本的苹果ios移动应用测试,xcode6.0,
6.1,and6.2
20.cobol
21.sap-abap
fortify sca支持系统平台,能扫描的语言种类是的。
fortify sca能全mian地(五个层面)分析源代码中存在的问题。
fortify sca能够扫描出来350多种漏洞,拥有目前业界权wei的安全规则库,与同步。
fortify sca的测试扫描速度快,约1分钟1万行。
fortify sca提供了---的审计平台和详细的漏洞信息。
fortify sca提供了漏洞的详细中文说明和相应的修复建议。
fortify sca操作简单,源代码扫描工具fortify规则库,使用方便,fortify规则库,易用,界面设计人性化。
fortify sca获得多项国际大奖,目前市场占有率第yi。
fortify sca是唯yi一个被国内多家安全测评机构所---并使用的代码安全测试产品。
fortify sca 在600多家客户,在国内也有30多家客户,丰富的实施经验,国内拥有的服务团队和售后支持团队。
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,源代码检测工具fortify规则库,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,f包含
[returnstatement r:r.expression.ctantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时,源代码扫描工具fortify规则库,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,categorycustom规则
华克斯-fortify规则库由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有---的声誉。华克斯取得---商盟,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/276066806.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号