源代码审计工具fortify版本-华克斯信息

fortify软件

强化静态代码分析器

使软件更快地生产

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则---

---接字层（ssl / tls）是使用加密过程提供身份验证，机mi性和完整性的广泛使用的---通信协议。为---该方的身份，必须交换和验证x.509---。一方当事人进行身份验证后，协议将提供加密连接。用于ssl加密的算法包括一个安全的散列函数，---了数据的完整性。

当使用ssl / tls时，必须执行以下两个步骤，以---中间没有人篡改通道：

---链---验证：x.509---指ding颁发---的---颁发机构（ca）的名称。服务器还向---发送中间ca的---列表到根ca。---验证每个---的签名，到期（以及其他检查范围，例如撤销，基本约束，策略约束等），从下一级到根ca的服务器---开始。如果算法到达链中的后一个---，没有---，则验证成功。

主机名验证：建立---链后，---必须验证x.509---的主题是否与所请求的服务器的完全限定的dns名称相匹配。 rfc2818规定使用subjectaltnames和common name进行向后兼容。

当---使用ssl / tls api并且可能导致应用程序通过受攻击的ssl / tls通道传输---息时，可能会发生以下错误使用情况。

证明所有---

应用程序实现一个自定义的trustmanager，使其逻辑将---每个呈现的服务器---，而不执行---链验证。

trustmanager [] trustallcerts = new trustmanager [] {

       新的x509trustmanager（）{

...

  public void checkservertrusted（x509certificate [] certs，

                string authtype）源代码扫描工具fortify版本

}

这种情况通常来自于自---书被广泛使用的开发环境。根据我们的经验，我们通常会发现开发人员完全禁用---验证，而不是将---加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。

当这种情况发生时，它类似于从烟雾探测器中取出电池：检测器（验证）将仍然存在，提供错误的---，源代码审计工具fortify版本，因为它不会检测烟雾（不可信方）。实际上，当---连接到服务器时，验证例程将乐意接受任何服务器---。

在github上搜索上述弱势代码可以返回13，823个结果。另外在stackoverflow上，一些问题询问如何忽略---错误，获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何---管理。

fortify sca 扫描的结果如下：

fortify sca 的结果文件为.fpr 文件，包括详细的漏洞信息：漏

洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明 及修复建议等。如下：

分级报告漏洞的信息                      项目的源代码                 漏洞修复的方法

漏洞产生的全路

径的---信息

漏洞的详细说明

图2：foritfy awb  查看结果

3．fortify sca 支持的平台：

4．fortify

sca 支持的编程语言：

5．fortify sca plug-in

支持的有:

6．fortify sca 目前能够扫描的安全漏洞种类有：

目前fortify sca可以扫描出约 300

种漏洞，fortify将所有安全

漏洞整理分类，源代码扫描工具fortify版本，根据开发语言分项目，再细分为 8 个大类，约

300

个 子类：

                               

fortify软件

强化静态代码分析器

使软件更快地生产

hp fortify静态代码分析器

hp fortify sca通过可用的全mian的安全编码规则提供---原因的漏洞检测，并支持广泛的语言，平台，构建环境（集成开发环境或ide）和软件组件api。

进行静态分析，源代码审计工具fortify版本，以确定源代码中的安全漏洞的---原因

检测超过480种类型的软件安全漏洞，涵盖20种开发语言 - 业界。

根据风险---程度排序优先级结果，fortify版本，并指导如何修复代码行详细信息中的漏洞

---符合应用程序安全性要求

硬件要求

hp fortify software建议您在具有至少1 gb ram的处理器上安装hp fortify静态代码分析器（sca）。

平台和架构

hp fortify sca支持以下平台和架构：

操作系统架构版本

linux x86：32位和64位fedora core 7

红帽es 4，es5

novell suse 10

oracle el 5.2

windows?x86：32位和64位7 sp1

2017年

win10

vista业务

vista ultimate

windows 7的

windows?x86：32位2000

mac os x86 10.5，10.6

oracle solaris sparc 8，9，10

86 10

hp-ux pa-risc 11.11

aix 5.2 ppc

freebsd x86：32位6.3，7.0

源代码审计工具fortify版本-华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业，公司秉承“诚信经营，用心服务”的理念，为您提供---的产品和服务。欢迎来电咨询！联系人：华克斯。

     联系我们时请一定说明是在100招商网上看到的此信息，谢谢！
     本文链接：https://tztz192713.zhaoshang100.com/zhaoshang/279628709.html
     关键词： loadrunner - qtp - hp qc/alm - fortifysca - fireeye