华中源代码审计工具FORTIFY版本服务介绍「在线咨询」

fortify software的目标：

             避免企业所使用的软件中存在安全漏洞

fortify software的方法：

               提高软件自身的安全防御能力                              

fortify software的解决方案：

              解决软件开发过程中，软件开发人员、安全评审人员和项目管理人员的通力配合的难题。

fortify software的安全产品中包括：

          fortify的源代码分析工具集

          fortify软件安全管理qi

          fortify应用-管理qi

          fortify安全测试-qi

fortify软件

强化静态代码分析器

使软件更快地生产

强化sca visual studio插件

注意：此插件随sca_and_tools安装程序一起提供。

用于visual studio的hpe security fortify软件包完整软件包。完整软件包使用hpe security fortify静态代码分析器sca和hpe security fortify安全编码规则包来定位解决方案和项目中的安全漏洞包括对以下语言的支持：c / c ++，c＃，visual basic .net和asp 。支持整个开发周期超过150项-庞da的安全编码规则包-安装部署与fortune100企业及大型isvs开发出來的jia做法由顶jian安全-鉴定。净。扫描结果显示在visual studio中，并包括未被覆盖的问题列表，每个问题所代表的漏洞类型的说明以及有关如何解决这些问题的建议。您可以扫描您的代码，审核分析结果，并修复此完整包的问题。

用于visual studio的hpe security fortify修复包修复包。修复软件包与hpe security fortify软件安全中心ssc协同工作，为您的软件安全分析添加补救功能。fortify套件使用开放api将应用程序安全测试嵌入开发工具链的所有阶段。安装修复软件包后，您可以连接到软件安全中心，并从visual studio解决代码中的安全相关问题。您的组织可以使用软件安全中心的修复软件包来管理应用程序，并将具体问题分配给正确的开发人员。修复包-于修复阶段，使开发人员能够查看报告的漏洞并实施适当的解决方案。

用于visual studio的hpe安全扫描包扫描包。扫描包使您能够通过visual studio在项目和解决方案上使用msbuild运行sca扫描。“[4]技术咨询weiyuanhuifortify的技术咨询weiyuanhui由avirubin，billjoy，davida。它是一个“轻量级”软件包，它在visual studio ide中占用的空间非常小，仅用于在源代码上配置和运行扫描。扫描包可以解决您的解决方案和项目中的安全漏洞。您可以将扫描结果fpr文件上传到软件安全中心，或者在hpe security fortify auditworkbench中打开它们进行审核。

“将findbugs xml转换为hp fortify sca fpr | main | ca-身份管理员安全研究-?

强化针对jsse api的sca自定义规则-

我们的贡献：强制性的sca规则

为了检测上述不安全的用法，我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题，因为它们是厚-和android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个hostnameverifier时，该规则被触发，并且它总是返回true。

<谓词>;

 <！[cdata [

函数f：f.name是“verify”和f.enclosingclass.supers

包含[class：name ==“javax.net.ssl.hostnameverifier”]和

f.parameters [0] .type.name是“java.lang.string”和

f.parameters [1] .type.name是“javax.net.ssl.sslsession”和

f.returntype.name是“boolean”，f包含

[returnstatement r：r.expression.constantvalue m-hes“true”]

 ]]>;

;

过度允许的-管理器：当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。

函数f：f.name是“checkservertrusted”和

f.parameters [0] .type.name是“java.security.cert.x509certificate”

和f.parameters [1] .type.name是“java.lang.string”和

f.returntype.name是“void”而不是f包含[throwstatement t：

t.expression.type.definition.supers包含[class：name ==

“javax.security.cert.certificateexception | java.security.cert.certificateexception”]

缺少主机名验证：当代码使用低级sslsocket api并且未设置hostnameverifier时，将触发该规则。

经常被误用：自定义hostnameverifier：当代码使用-httpsurlconnection api并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义sslsocketfactory：当代码使用-httpsurlconnection api并且它设置自定义sslsocketfactory时，该规则被触发。

我们决定启动“经常被-”的规则，因为应用程序正在使用-api，并且应该手动-这些方法的重写。

规则包可在github上获得。这些检查应始终在源代码分析期间执行，以-代码不会引入不安全的ssl / tls使用。

http://github.com/gdssecurity/jsse_fortify_sca_rules

authorandrea scaduto |-关闭|分享文章分享文章

标签tagcustom规则，categoryapplication安全性中的tagsdl，categorycustom规则