fortify软件
强化静态代码分析器
使软件更快地生产
转移景观
语言支持也得到了扩展,完全支持php,javasc ript,cobol以及所有添加到版本5的asp和basic的classic-non-.net版本。fortify sca以---直支持c#,vb.net,java和c / c ++,源代码检测工具fortify价格表,coldfusion和存储过程语言,如microsoft tsql和oracle pl / sql。
“从基于com的语言到.net版本的迁移速度并没有像我们以前那样快,”meftah解释说。 “这些com语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
sans institute互联网风暴中心研究员johannes ullrich表示,fortify sca等代码分析工具对于成长型企业开发商店---。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”ullrich说。 “这是一个---的时间保护,它没有找到所有的漏洞,但它找到标准的东西,源代码检测工具fortify,它需要很多繁忙的代码---。
fortify sca旨在与现有工具和ide集成,包括microsoft visual studio,eclipse和ibm rapid application developer(rad)。基于java的套件运行在各种操作系统上,包括windows,linux,mac os x和各种各样的unix。
---的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(michael desmond)是1105媒体企业计算组织的编辑兼作家。
fortify软件
强化静态代码分析器
使软件更快地生产
如何解决fortify报告的扫描问题
已经注意到以下错误消息,但是软件保障计划办公室还没有关于如何解决这些问题的指导。建议尝试使用以下步骤解决这些问题:
生成日志文件并查看它以获取有关该问题的更多信息
打开支持票帮助
联系fortify技术支持(fortifytechsupport@hpe.com)寻求帮助
如果这些步骤无法解决问题,请将您与fortify技术支持部门的通讯连同v&v安全代码---资料一起提供,并在准备报告时将其纳入考量
请注意,这不是错误消息的完整列表,并将更多地变得广泛:
错误代码
错误信息
笔记
1意外的异常:---分析不适用
101文件。 。 。没有找到n / a
1002,1003解析文件n / a时出现意外的异常
1005数据流分析期间的意外异常n / a
1009构建调用图n / a时出现意外异常
1038初始分析阶段n / a中出现意外异常
1142在内部存储器管理期间发生意外错误。扫描将继续,但内存可能会迅速耗尽,扫描结果可能不完整。 n / a
1202无法解析符号。 。 。 n / a
1207配置文件。 。 。无法找到网络应用程序n / a
1211无法解析类型n / a
1213无法解析字段n / a
1216无法找到导入(?)n / a
1227尝试加载类路径存档时发生异常...文件可能已损坏或无法读取。 n / a
1228属性文件。 。 。以连续标记结束。该文件可能已损坏。 n / a
1232格式错误或io异常阻止了类文件。 。 。从被读取不适用
1236无法将以下aspx文件转换为分析模型。 n / a
1237以下对java符号的引用无法解决。某些实例可以通过调整提供给fortify的类路径来解决,但是在所有情况下都不能解决此问题。
1551,1552多个coldfusion错误(无法解析组件,找不到函数,意外令牌等)可以与使用不支持的coldfusion版本相关。
12002找不到web应用程序的部署描述符(web.xml)。 n / a
12004 java前端无法解析以下包含n / a
12004 python前端无法解析以下导入n / a
13509规则---错误可能是fortify错误,但需要确认
某些错误消息可能是fortify工具中的问题的结果。确认的问题以及如何处理这些问题,都会发布在oisswa博客中,以及有关解析/语法错误的技术说明。已确认的fortify问题也在本页顶部的表格中注明。
如果您在解决---或错误消息时遇到问题,请参阅我们的常见问题解答以获取有关打开支持票证的信息。
参考
参见参考技术说明
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
允许所有的行动
应用程序不检查服务器发送的数字---是否发送到---正在连接的url。
java---接字扩展(jsse)提供两组api来建立安全通信,一个httpsurlconnection api和一个低级sslsocket api。
httpsurlconnection api默认执行主机名验证,源代码检测工具fortify工具,再次可以通过覆盖相应的hostnameverifier类中的verify()方法来禁用(在github上搜索以下代码时,大约有12,800个结果)。
hostnameverifier allhostsvalid = new hostnameverifier(){
public boolean verify(string hostname,sslsession session){
返回真
}
};
sslsocket api不开箱即可执行主机名验证。以下代码是java 8片段,仅当端点标识算法与空字符串或null值不同时才执行主机名验证。
private void checktrusted(x509certificate [] chain,string authtype,源代码检测工具fortify服务商,sslengine engine,boolean isclient)
throws certificateexception {
...
string identityalg = engine.getsslparameters()。
getendpointidentificationalgorithm();
if(identityalg!= null && identityalg.length()!= 0){
checkidentity(session,chain [0],identityalg,isclient,
getrequestedservernames(发动机));
}
...
}
当ssl / tls---使用原始的sslsocketfactory而不是httpsurlconnection包装器时,识别算法设置为null,因此主机名验证被默认跳过。因此,如果攻击者在---连接到“domain.com”时在网络上具有mitm位置,则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器---。
这种记录的行为被掩埋在jsse参考指南中:
“当使用原始sslsocket和sslengine类时,您应该始终在发送任何数据之前检查对等体的凭据。 sslsocket和sslengine类不会自动验证url中的主机名与对等体凭
源代码检测工具fortify价格表-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有---的声誉。华克斯取得---商盟,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/279643165.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号