Fortify软件强化静态代码分析器使软件更快地生产强化SCAEclipse修复插件惠普企业HPE社区描述发布相似的项目评测联系我们描述用于Eclipse的HPESecurityFortify修补插件（EclipseRemediationPlugin）与HPESecurityFortify软件安全中心配合使用，可以从EclipseIDE向软件安全分析添加补救功能。EclipseRemediationPlugin是一个轻量级的插件选项，用于不需要AuditWorkbench和EclipseCompletePlugin的扫描和审核功能的开发人员.EclipseRemediationPlugin可以帮助开发人员快速轻松地了解所报告的漏洞并实施适当的解决方案。开发人员可以在Eclipse中编写代码时解决安全问题。您的组织可以使用软件安全中心的Eclipse修复插件来管理项目，源代码检测工具fortify报告中文插件，并向相关开发人员分配具体问题。Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，源代码扫描工具fortify报告中文插件，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，fortify报告中文插件，CategoryApplication安全性中的TagSDL，CategoryCustom规则Fortify软件强化静态代码分析器使软件更快地生产HPFortify静态代码分析器FortifySCA5.0提供从未在应用程序安全性中提供的功能，涵盖企业需要加速安全开发的三个关键领域：-定制-绝大多数今天的企业都有自定义的应用程序，安全过程和反映他们的编码风格竞争力。任何成功的应用安全实现必须适应各企业发展需要的性。FortifySCA5.0使企业能够为其创建自定义规则他们的任务关键应用程序，以及给安全人员和其他非开发团队成员有能力创建规则分钟，而不是几天，而不需要先前的编码经验。-协作-安全审核员的扩展团队，合规性，发展主管和管理软件发展跨度时区和组织图。强化SCA5.0使开发人员和审计人员能够在代码审查，安全性方面进行协作错误分类和审核作为一个复杂的开发项目的团队。-全mian-Fortify帮助企业部署全mian的保护过去，现在和未来应用的安全策略。如不断变化的黑ke带来了新的漏洞类景观和新技术，如Web2.0。并且继续使用漏洞要发展，安全和发展团队必须采取一切可能的步骤确保他们的软件。通过PHP和JavaScript支持，FortifySCA5.0帮助开发团队面向未来的应用程序。为了遗产应用程序，FortifySCA5.0将支持COBOL和ClassicASP保护旧的任务关键型应用程序-特别是它们由SOA部署暴露。“选择应用程序安全测试技术时，企业应该将这些产品集成到流xing的开发和测试工作室（如Eclipse或VisualStudio）中，分析编程语言的数量以及测试能力的速度和规模，”Joseph说费曼，Gartner副总裁兼Gartner研究员。“存托信托结算公司通过其子公司为股piao，公司和市政，货币市场工具，和担bao证券以及非处fang衍生工具提供，结算和信息服务，我们是共同基jin和保险交易的领xian处理商，将基jin和运营商与其分销网络联系起来，安全性对我们的业务至关重要，“DTCC信息安全官员JimRouth说。“像许多企业一样，我们的软件基础设施是传统应用程序和新应用程序的结合，因此我们需要一种解决方案，可以处理我们环境中的技术多样性，源代码审计工具fortify报告中文插件，并将其轻松集成到我们的开发环境中。这样有效“。Fortify公司的BarmakMeftah补充说：“Fortify一直是广泛覆盖语言，平台和IDE（集成开发环境）的，随着这一发布，我们将领导层扩展到四种新语言并支持RSAIDE。产品与服务副总裁。“FortifySCA5.0为我们的客户提供了更深层次的控制，分析和协作，以保护他们免受许多流xing和快速发展的Web2.0编程语言和技术（包括JavaScript和PHP）中的威胁。源代码扫描工具fortify报告中文插件-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念，拥有一支高素质的员工队伍，力求提供更好的产品和服务回馈社会，并欢迎广大新老客户光临惠顾，真诚合作、共创美好未来。华克斯——您可信赖的朋友，公司地址：苏州工业园区新平街388号，联系人：华克斯。)