fortify软件
强化静态代码分析器
使软件更快地生产
hp fortify静态代码分析器
fortify软件通过引入fortify sca 5.0设置安全代码开发的行业标准
2017年10月23日06:29 am
市场领xian的企业级应用安全解决方案供应商fortify?software inc.今---出fortify sca 5.0,这是第五代屡获殊荣的源代码分析软件。 fortify sca是业界---的静态分析解决方案,旨在帮助企业消除其开发应用程序中的安全漏洞。 fortify的xin版本fortify sca 5.0集成了新的功能,为应用程序安全性制定了新的行业标准,包括几个行业第yi:
- 由向导驱动创建由不是的人定制的安全规则
软件开发人员
- 实现软件开发团队之间的协作
- 防范新类别的漏洞
应用安全
- 支持编程语言,包括php,javasc ript(ajax),
---asp / vb---(vb 6)和cobol的有限版本
据gartner介绍,“企业必须采用源代码扫描技术和流程,因为需求是---的。” (源代码安全测试工具的市场定义和供应商选择标准,2017年5月,neil macdonald和joseph feiman)。由于应用程序安全性将自身确定为组织开发自己的应用程序的“必须”,所以安全的开发过程必须更紧密地集成到其日常活动中。 fortify已经是应用程序安全性的市场,已经纳入了其客户群体的反馈,为企业安全开发生命周期带来协作,定制和更全mian的保护。
fortify---john m. jack说:“我们的客户群的广度和---使我们能够洞察shangda的应用程序安全部署,以及组织如何使用这种技术的详细知识。 “这些业务面临不断的安全威胁和客户根据他们所确定的安全级别对其产品和服务进行评估,因此他们花了大量时间评估其安全开发实践,并对任何解决方案都有非常明确的要求随着fortify sca 5.0的发布,我们实施了这些市场的反馈,提供满足这些要求的第yi个解决方案和业界有xiao的应用安全解决方案。“
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,源代码检测工具fortify sca,f包含
[returnstatement r:r.expression.ctantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用httpsurlconnection api并且它设置自定义主机名验证器时,源代码扫描工具fortify sca,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,源代码检测工具fortify sca,categorycustom规则
fortify软件
强化静态代码分析器
使软件更快地生产
如何修正hp fortify sca报告中的弱点?
常见的静态程序码扫描工具(又称原始码检测,白箱扫描),例如hp fortify sca,被许多企业用来提高安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢?
对于许多来说,hp fortify sca的报告被视为麻烦制造者,因为它们虽然---了弱点(不论是真的或是---),但却没有提供任何修正这些弱点的方法。
有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢?
lucent sky avm和静态程序码扫描工具一样会---弱点,同时提供即时修复 - 一段安全的程式码片段,能够直接插入程式码中来修正跨站---(xss),sql注入和路径处理这些常见的弱点。
以.net(c#和vb.net)和java应用程式来说,华南fortify sca,lucent sky avm可以修正达90%所找到的弱点。
一起使用hp fortify sca和lucent sky avm
hp fortify sca只会告诉你弱点在哪里,而lucent sky avm会---它们的位置以及修正方式(并且实际为你修正他们,你喜欢的话)hp fortify sca是被设计来供资安人士使用,因此设计理念是找出大量的结果,再依赖安全来移除其中的---.lucent sky avm则是---于找出会真正影响应用程式安全的弱点,并依照你或你的开发与安全团队的设定来---的修正这些弱点。你可以深入了解lucent sky amv的修正流程。
华克斯信息-华南fortify sca由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“loadrunner,fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,---经营”的方针,勇于参与市场的良性竞争,使“loadrunner,fortify,webinspect”品牌拥有------。我们坚持“服务,用户”的原则,使华克斯在行业软件中赢得了客户的---,树立了---的企业形象。 ---说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/278440509.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号