fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
---接字层(ssl / tls)是使用加密过程提供身份验证,机mi性和完整性的广泛使用的---通信协议。为---该方的身份,必须交换和验证x.509---。一方当事人进行身份验证后,协议将提供加密连接。用于ssl加密的算法包括一个安全的散列函数,源代码审计工具fortify报告中文插件,---了数据的完整性。
当使用ssl / tls时,必须执行以下两个步骤,源代码审计工具fortify规则库,以---中间没有人篡改通道:
---链---验证:x.509---指ding颁发---的---颁发机构(ca)的名称。服务器还向---发送中间ca的---列表到根ca。---验证每个---的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根ca的服务器---开始。如果算法到达链中的后一个---,没有---,则验证成功。
主机名验证:建立---链后,---必须验证x.509---的主题是否与所请求的服务器的完全限定的dns名称相匹配。 rfc2818规定使用subjectaltnames和common name进行向后兼容。
当---使用ssl / tls api并且可能导致应用程序通过受攻击的ssl / tls通道传输---息时,可能会发生以下错误使用情况。
证明所有---
应用程序实现一个自定义的trustmanager,使其逻辑将---每个呈现的服务器---,而不执行---链验证。
trustmanager [] trustallcerts = new trustmanager [] {
新的x509trustmanager(){
...
public void checkservertrusted(x509certificate [] certs,
string authtype)fortify
}
这种情况通常来自于自---书被广泛使用的开发环境。根据我们的经验,我们通常会发现开发人员完全禁用---验证,而不是将---加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。
当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的---,因为它不会检测烟雾(不可信方)。实际上,当---连接到服务器时,验证例程将乐意接受任何服务器---。
在github上搜索上述弱势代码可以返回13,823个结果。另外在stackoverflow上,一些问题询问如何忽略---错误,获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何---管理。
fortify软件
强化静态代码分析器
使软件更快地生产
hp fortify静态代码分析器
hp fortify sca通过可用的全mian的安全编码规则提供---原因的漏洞检测,并支持广泛的语言,平台,构建环境(集成开发环境或ide)和软件组件api。
进行静态分析,以确定源代码中的安全漏洞的---原因
检测超过480种类型的软件安全漏洞,涵盖20种开发语言 - 业界。
根据风险---程度排序优先级结果,并指导如何修复代码行详细信息中的漏洞
---符合应用程序安全性要求
硬件要求
hp fortify software建议您在具有至少1 gb ram的处理器上安装hp fortify静态代码分析器(sca)。
平台和架构
hp fortify sca支持以下平台和架构:
操作系统架构版本
linux x86:32位和64位fedora core 7
红帽es 4,es5
novell suse 10
oracle el 5.2
windows?x86:32位和64位7 sp1
2017年
win10
vista业务
vista ultimate
windows 7的
windows?x86:32位2000
mac os x86 10.5,10.6
oracle solaris sparc 8,9,10
86 10
hp-ux pa-risc 11.11
aix 5.2 ppc
freebsd x86:32位6.3,7.0
fortifysca报表及测试结果管理功能要求
·
能够针对客户的个性化需求,勾选报表模板中的内容,并且可以自定义报表模板。包含加入用户企业的logo。
·
提供多种格式的检测报告,如:pdf、xml,word等。
·
提供将测试结果与owasp
2007/2010/2013 ---0漏洞的比较性报表。
·
能够编辑以往有效成功的修复经验描述在系统中,天津fortify,并可以整合在报告中输出,共享漏洞修复的经验。
·
测试结果可以以文件形式保存,无需数据库支持,减少部署时间和成本,源代码检测工具fortify总代理,也可以将测试结果作为测试资产集中存储在商用的数据库中,以便测试---和备份工作。
·
对企业中多个项目的多次测试结果进行统一管理,能够按项目或项目开发语言等多种方式查看测试结果的发展趋势,帮助管理人员定制安全策略。
天津fortify-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有---的声誉。华克斯取得---商盟,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/278907803.html
关键词:
滇公网安备 53011202000392号