华克斯-云南fortify总代理

fortify软件

强化静态代码分析器

使软件更快地生产

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则---

我们的贡献：强制性的sca规则

为了检测上述不安全的用法，我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题，云南fortify总代理，因为它们是厚---和android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个hostnameverifier时，该规则被触发，并且它总是返回true。

<谓词>;

 <！[cdata [

函数f：f.name是“verify”和f.enclosingclass.supers

包含[class：name ==“javax.net.ssl.hostnameverifier”]和

f.parameters [0] .type.name是“java.lang.string”和

f.parameters [1] .type.name是“javax.net.ssl.sslsession”和

f.returntype.name是“boolean”，f包含

[returnstatement r：r.expression.ctantvalue m---hes“true”]

 ]]>;

;

过度允许的---管理器：当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。

<谓词>;

 <！[cdata [

函数f：f.name是“checkservertrusted”和

f.parameters [0] .type.name是“java.security.cert.x509certificate”

和f.parameters [1] .type.name是“java.lang.string”和

f.returntype.name是“void”而不是f包含[throwstatement t：

t.expression.type.definition.supers包含[class：name ==

“（javax.security.cert.certificateexception | java.security.cert.certificateexception）”]

 ]]>;

;

缺少主机名验证：当代码使用低级sslsocket api并且未设置hostnameverifier时，将触发该规则。

经常被误用：自定义hostnameverifier：当代码使用httpsurlconnection api并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义sslsocketfactory：当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时，该规则被触发。

我们决定启动“经常被---”的规则，源代码检测工具fortify总代理，因为应用程序正在使用api，并且应该手动---这些方法的重写。

规则包可在github上获得。这些检查应始终在源代码分析期间执行，以---代码不会引入不安全的ssl / tls使用。

https://github.com/gdssecurity/jsse_fortify_sca_rules

authorandrea scaduto |---关闭|分享文章分享文章

标签tagcustom规则，categoryapplication安全性中的tagsdl，categorycustom规则

fortify软件

强化静态代码分析器

使软件更快地生产

devops的安全状态

应用安全和devops报告2017

阅读更多

主要特征

高xiao

通过帮助开发人员通过增量扫描来提高编程效率，从而提高扫描时间，源代码扫描工具fortify总代理，获得更快的结果，并加快软件投入生产所需的时间。

全mian

支持各种开发环境，语言，平台和框架，源代码审计工具fortify总代理，以在混合开发和生产环境中实现安全评估。

准确

由fortify软件安全研究团队扩展和自动更新的da和完整的安全编码规则引导。

使用方便

通过---，插件和工具集成到任何环境中，以便开发人员能够快速轻松地启动和运行。

适用于任何应用程序

fortify sca支持的编程语言，可以识别所有类型的应用程序的风险，并随着业务需求的增长而扩展。

fortifysca庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

        c，

c++， .net， java， jsp，pl/sql， t-sql， xml，

cfml

        javasc ript， php， asp， vb， vbsc ript

精que地定位漏洞的产生的全路径

支持不同的软件开发平台

      platform:

windows， solaris， red hat linux，

                   mac os x， hp-ux， ibm

aix

      ides       :

visual studio， eclipse， rad， wsad

source code ---ysis engine（源代码分析引擎）

            数据流分析引擎--------，记录并分析程序中的数据传递过程的安全问题                    

           语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

           结构分析引擎-----分析程序上下文环境，结构中的安全问题                        

           控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

           配置分析引擎 -----分析项目配置文件中的---息和配置缺失的安全问题                    

           特有的x-tier?---qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

华克斯-云南fortify总代理由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业，公司秉承“诚信经营，用心服务”的理念，为您提供---的产品和服务。欢迎来电咨询！联系人：华克斯。

     联系我们时请一定说明是在100招商网上看到的此信息，谢谢！
     本文链接：https://tztz192713a1.zhaoshang100.com/zhaoshang/279657805.html
     关键词：