源代码扫描工具fortify-苏州华克斯信息

fortify软件

强化静态代码分析器

使软件更快地生产

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则---

我们的贡献：强制性的sca规则

为了检测上述不安全的用法，我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题，因为它们是厚---和android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个hostnameverifier时，该规则被触发，并且它总是返回true。

<谓词>;

 <！[cdata [

函数f：f.name是“verify”和f.enclosingclass.supers

包含[class：name ==“javax.net.ssl.hostnameverifier”]和

f.parameters [0] .type.name是“java.lang.string”和

f.parameters [1] .type.name是“javax.net.ssl.sslsession”和

f.returntype.name是“boolean”，源代码扫描工具fortify版本，f包含

[returnstatement r：r.expression.ctantvalue m---hes“true”]

 ]]>;

;

过度允许的---管理器：当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。

<谓词>;

 <！[cdata [

函数f：f.name是“checkservertrusted”和

f.parameters [0] .type.name是“java.security.cert.x509certificate”

和f.parameters [1] .type.name是“java.lang.string”和

f.returntype.name是“void”而不是f包含[throwstatement t：

t.expression.type.definition.supers包含[class：name ==

“（javax.security.cert.certificateexception | java.security.cert.certificateexception）”]

 ]]>;

;

缺少主机名验证：当代码使用低级sslsocket api并且未设置hostnameverifier时，将触发该规则。

经常被误用：自定义hostnameverifier：当代码使用httpsurlconnection api并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义sslsocketfactory：当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时，该规则被触发。

我们决定启动“经常被---”的规则，因为应用程序正在使用api，并且应该手动---这些方法的重写。

规则包可在github上获得。这些检查应始终在源代码分析期间执行，以---代码不会引入不安全的ssl / tls使用。

https://github.com/gdssecurity/jsse_fortify_sca_rules

authorandrea scaduto |---关闭|分享文章分享文章

标签tagcustom规则，categoryapplication安全性中的tagsdl，categorycustom规则

fortify软件

强化静态代码分析器

使软件更快地生产

hp fortify静态代码分析器

fortify sca 5.0设置了一个全mian的新酒吧

fortify sca 5.0通过分析360技术增强了行业领xian的分析仪功能，可以处理安全开发面临的da问题，以及新的不断发展的攻击。通过分析360，fortify sca减少了错误的否定，以---没有错过，同时da限度地减少---，所以开发侧重于关键的代码问题。使用fortify sca 5.0，已经添加或增强了分析功能，以提---，包括：

    - ---色彩传播 - 此功能有助于

      找到远程可利用的错误，这对于查找---有用

      ---管理故障和其他与pci有关的错误。

    - 基于约束的漏洞--- - 提取一组布尔值

      来自代码的约束方程，并使用约束求解器进行排序

      错误的编码实践可能被利用的可能性的。

    - 过程间数据流分析 - 使用有限状态自动机

      通过代码模拟可能的执行路径。

    - 关联故障诊断 - 允许用户消除整个

      通过将跟随相同的结果相关联的假阳性类

      代码模式。

   fortify sca 5.0增加了对四种新编程语言的支持

    - ---asp - 今天，成千上万的---应用程序写入

      ---的asp需要针对普通的，的

      漏洞，如sql注入和跨站点---。

    - cobol - 几十年前发明 - 在应用程序安全性之前很久

      cobol的重要性随着企业---而重新浮出水面

      系统通过面向服务架构（soa）的举措。

    - javasc ript - 今天，javasc ript可能是增长快的编程

      语言 - 其安全问题已经有---的记录 - 包括

      fortify发现javasc ript---。

    - php - 近的扬基集团报告“web 2.0安全列车---”

      （andrew jaquith，2017年10月），引用“几个流行应用程序”

      基于php框架，如phpbb，具有---的安全性

      ---记录，“补充说，”php开发人员往往是“sc ripters”

      没有正式的安全培训。“强化sca 5.0给了大的和

      越来越多的php开发人员自动清理系统代码。

要了解有关fortify sca 5.0的更多信息，请于11月13日上午11点至12点举行fortify网络研讨会“强化sca 5.0：无边界应用安全”。 pacific，华克斯。

关于fortify software，inc.

fortify?软件产品可以保护企业免受关键业务软件应用程序安全漏洞所带来的威胁。其软件安全产品 - fortify sca，fortify manager，fortify tracer和fortify defender - 通过自动化开发和部署安全应用程序的关键流程降低成本和安全风险。 fortify software的客户包括机构和------企业，如---，医liao保健，西南源代码扫描工具fortify，电子商务，源代码扫描工具fortify，电信，出版，保险，系统集成和信息管理。该公司得到ji软件安全和合作伙伴的支持。更多信息，