fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,fortify扫描,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,f包含
[returnstatement r:r.expression.ctantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用api,源代码检测工具fortify扫描,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,源代码扫描工具fortify扫描,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,源代码审计工具fortify扫描,categorycustom规则
fortifysca优点
工具支持自动检测版本更新,工具和扫描规则可以方便进行更新,可以以线上、线下多种方式进行升级更新。更新频率不少于4次/年。
·
测试gao效、速度在可接受的范围内。如测试速度不低于1万行代码/分钟。可以随着cpu核数和内存的增加大幅提高测试速度。
·
提供灵活的扫描分析方式,如支持用ide插件直接扫描程序的目录,支持在命令行下扫描等。
fortify软件
强化静态代码分析器
使软件更快地生产
完整的软件安全测试和管理
安全和devops,“新”sdlc。
应用程序经济的快速增长挑战了传统的软件开发生命周期,推动更多敏捷的流程,自动化和更多的协作跨开发,和安全操作。看看appsec是什么意思
阅读博客
software_solutisecure_sdlc_interstitial_image_472x266_tcm245_2355047_tcm245_2355042_tcm245-2355047.jpg
devops的安全状态
应用安全和devops报告2016。
阅读更多
应用安全产品
dast
强化webinspect
自动化的动态安全测试工具,以查找和优先考虑可利用的网络漏洞。
学到更多
sast
强化静态代码分析器
自动静态代码分析,帮助开发人员消除漏洞并构建安全软件。
学到更多
软件安全
fortify软件安全中心
管理整个安全sdlc的软件风险 - 从开发到和生产。
学到更多
应用安全测试
按需加强
应用安全即服务。
学到更多
rasp
强化应用程序防御者
通过运行时应用程序自我保护来保护内部的生产应用程序。
学到更多
安全代码开发
强化devinspect
通过从一开始就编写安全代码来实现敏捷开发。赋予您的
学到更多
苏州华克斯公司-源代码审计工具fortify扫描由苏州华克斯信息科技有限公司提供。苏州华克斯公司-源代码审计工具fortify扫描是苏州华克斯信息科技有限公司今年新升级推出的,以上图片仅供参考,请您拨打本页面或图片上的联系电话,索取联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/278737233.html
关键词:
滇公网安备 53011202000392号