Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.constantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用高级HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用高级HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用高级API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则fortifySCA优点从代码的结构方面分析代码，识别代码结构不合理而带来的安全弱点和问题。·对多层次、多语言的项目，可以跨层次、跨语言地对整个项目进行分析。找到贯穿在多个层次或者多种语言的安全问题。可以支持Web应用的三层框架多种语言整合测试如JSP/Java/T-SQL或ASPX/C#/T-SQL。·支持检测业界最全的安全漏洞，工具能够支持检测的漏洞要能依从于国际权威组织，如美国软件安全漏洞词典CWE、开放式Web应用程序安全项目组织OWASP等·漏洞扫描规则支持客户自定义。方便客户添加特殊的扫描需求。同时提供友好的图形化的自定义向导和编辑器，fortify，自动生成规则脚本。Fortify软件强化静态代码分析器使软件更快地生产HPFortify静态代码分析器FortifySCA5.0提供定制为了帮助企业客户定制其应用程序安全规则和部署，Fortify已将规则开发和管理集成到FortifySCA5.0的审核工作台中，为开发人员通过管理安全开发的安全规则生成，编辑和排序提供了前所未有的灵活性。其中一些功能包括：-新的规则写入向导-用户可以快速创建自定义规则回答一系列旨在确定代码中的问题的问题这取决于唯yi的编码标准或专有库。-APIScanView-FortifySCA5.0提供了一个用于呈现的界面项目中使用的各种API，并突出显示未涵盖的API通过Fortify安全编码规则包。从这个界面，用户可以轻松创建相关API的新的自定义规则。-RulepackManager-Fortify用于管理Rulepacks的界面用户可以快速确定Rulepack的内容并允许它们轻松过滤，排序和编辑规则。-规则编辑器-对于高级用户，Fortify的XML编辑器提供语法突出显示，代码完成，验证和内联错误报告适用于自定义规则。FortifySCA5.0启用协作全球企业需要跨开发团队的连接，能够在全球和全天候进行协作。FortifySCA5.0为安全专业人员和应用程序开发人员提供了在不同视图中处理他们的项目的方法，允许两个组在不相互影响的情况下执行其功能。此外，此版本是第yi个应用程序安全解决方案，包括一系列跟踪和审核工具，可帮助开发人员在同一个项目上工作，而不管位置如何。最后，FortifySCA5.0集成了强大的报告功能，团队领导可以用来展示整个企业的其他利益相关者的进步。具体协作功能包括：-协作审核-团队成员现在可以发布一个源代码扫描到基于Web的应用程序进行审查，评论开启和分类问题。-开发者模式-以开发人员为中心的模式着重于众所周知质量问题，如空指针解引用，源代码扫描工具fortify总代理，内存泄漏和更多-以非常低的假阳性率，精简安全编码过程。开发人员可以专注于最重要的项目他们，源代码审计工具fortify，而安全专业人士可以看到所有潜在的问题根据需要将他们带到开发商。-审计历史-在一个问题上执行的每个评论和行动记录在时间轴上，源代码扫描工具fortify一年多少钱，以及时间戳和用户名执行行动的人-手动审核整合-手动代码审查期间发现的问题或其他形式的安全测试可以集成到审计工作台。现在所有的代码级安全问题都可以合并在一个强化SCA分析。-优先级排序-用户可以根据自己的需求分类问题组织的命名，创建自定义问题文件夹和创建过滤器自动填充文件夹中的特定类型的问题，或者完全隐藏某些问题。-新的IDE支持-FortifySCA现在支持RSA7，RAD7和RAD6。源代码审计工具fortify-fortify-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗，信誉可靠，在江苏苏州的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善创新理念和您携手步入辉煌，共创美好未来！)