fortify软件
强化静态代码分析器
使软件更快地生产
资源
---稿
应用安全解决方案可以保护sdlc for devops
学到更多
分析报告
保护您的web应用程序有多好?
(pdf 744kb)
学到更多
小册
将应用程序安全性构建到整个sdlc中
(pdf 3.21 mb)
学到更多
在线评估
你的安全行动有多成熟?
学到更多
---
采取协作方式的it安全
---
---
违约回应:为不可避免的准备
---
相关应用安全产品与服务
脆弱性研究
安全研究
---的脆弱性研究作为可操作的安全智能。
学到更多
siem
arcsight esm
确定安全事件的优先级,以保护您的业务。
学到更多
企业安全培训
企业安全大学
指导,优化您的安全操作和您的安全投资。
学到更多
企业安全咨询
安全咨询服务
咨询服务,帮助您充分利用您在hpe安全解决方案方面的投资。
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,源代码检测工具fortify规则库,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,f包含
[returnstatement r:r.expression.ctantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,源代码检测工具fortify规则库,categoryapplication安全性中的tagsdl,categorycustom规则
fortify软件
强化静态代码分析器
使软件更快地生产
资源的
数据表
通过早期安全测试构建---的代码
(pdf 260 kb)
学到更多
解决方案简介
使用fortify sca保护您的企业软件
(pdf 489 kb)
学到更多
---软件
立即开始您的webinspect---版
学到更多
视频
denim group加强了fortify的应用
(2.26分钟)
看视频
相关产品,解决方案和服务
应用安全测试
按需加强
应用安全即服务。
学到更多
软件安全
fortify软件安全中心
管理整个安全sdlc的软件风险 - 从开发到和生产。
学到更多
dast
强化webinspect
自动化的动态安全测试工具,以查找和优先考虑可利用的网络漏洞。
学到更多
移动安全
移动应用安全
将您的移动堆栈从设备保护到网络通信到服务器。
学到更多
安全情报服务
威胁防御服务
发现并实施针对您的企业da威胁的有针对性的解决方案。
学到更多
应用安全
强化应用安全性
静态和动态应用程序安全测试,源代码审计工具fortify规则库,以便在利用漏洞之前查找和修复漏洞。
学到更多
应用安全软件
软件
使您的软件免受攻击。
学到更多
参与我们的应用安全社区
保护您的资产博客
获得it安全洞察力,在各地的攻击者面前保护您的业务。
保护您的资产博客
安全研究博客
获得---的研究,观察和更新,fortify规则库,以帮助您主动识别威胁和管理风险。
安全研究博客
protect724社区
加入hpe安全社区,共享,搜索,协作解决方案并获得反馈。
protect724社区
twitter上的hpe security
获取关于混合环境风险的xin推文,并防御威胁。
twitter上的hpe security
linkedin上的hpe security
与联系,并讨论混合环境中新威胁和风险的xin信息。
linkedin上的hpe security
facebook上的hpe软件
与同行和一起讨论如何使hpe软件为您工作。
facebook上的hpe软件
google+上的hpe软件
讨论如何使您的企业应用程序和信息为您工作的xin信息。
google+上的hpe软件
hpe业务洞察
获得来自it的战略见解,帮助他人定义,测量和实现---的it表现。
hpe业务洞察
源代码检测工具fortify规则库-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供---的产品和服务。欢迎来电咨询!联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/276456043.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号