fortifysca优点
secure coding rulepacks ?(安全编码规则包)
audit workbench(---工作台)
custom rule editor & custom
rule wizard(规则自定义编辑器和向导)
developer desktop (ide 插件)
其主要特点:
1.集中管理
2.化分优先级
3.标记趋势
4.
协同工作平台
5.产生多种报表
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,西南源代码扫描工具fortify,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,源代码扫描工具fortify服务商,f包含
[returnstatement r:r.expression.ctantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,源代码扫描工具fortify 价格,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,categorycustom规则
fortify软件
强化静态代码分析器
使软件更快地生产
强化sca 5.0扩展应用程序保护
fortify软件更新app-dev安全和管理套件。
作者:michael desmond 11/01/2017 fortify software inc.计划出货fortify sca 5.0,该版本是该公司---应用开发---件的更新版本。
fortify sca 5.0目前处于beta版,预计将在年底前发货,源代码扫描工具fortify报告中文插件,是由三个模块组成的源代码分析器。 fortify tracer扫描代码并防止缺陷在设计生命周期的检查部分; fortify defender监视部署的应用程序代码,防止实时攻击;而fortify manager提供了一个基于web的仪表板,用于监控活动和调整配置。
新版本5是通过team server web界面实现的增强协作,使fortify sca仪表板轻触实时数据流。 fortify产品和服务副总裁barmak meftah表示,新的仪表板允许管理员为不同的团队制定不同的角色和政策。
“到目前为止,我们的终端用户已经是一个---的打击,”meftah说。
西南源代码扫描工具fortify-苏州华克斯公司由苏州华克斯信息科技有限公司提供。“loadrunner,fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/276487717.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号