福建源代码审计工具fortify工具价格合理「华克斯」

福建源代码审计工具fortify工具价格合理「华克斯」[华克斯25b461e]内容：

Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

 数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题

 语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题

 结构分析引擎-----分析程序上下文环境,结构中的安全问题

 控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题

 配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

 特有的X-Tier™跟踪qi-----跨跃项目的上下层次,贯穿程序来综合分析问题

Secure

Coding

Rulepacks

™（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

Custom

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)

Fortify软件

强化静态代码分析器

Fortify静态代码分析器在软件开发生命周期早期识别源代码中的安全漏洞，并提供jia实践，使开发人员可以更安全地编码。

通过建立更好的软件降低安全风险

Security Fortify静态代码分析器（SCA）由开发组和安全人员用于分析应用程序的源代码以获取安全问题。 SCA识别软件安全漏洞的根本原因，并通过代码修复指导提供准确的，风险排名的结果，使您的团队能够轻松解决严重问题。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»

强化针对JSSE API的SCA自定义规则滥用

安全套接字层（SSL / TLS）是使用加密过程提供身份验证，机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份，必须交换和验证X.509证书。一方当事人进行身份验证后，协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数，保证了数据的完整性。

当使用SSL / TLS时，必须执行以下两个步骤，以确保中间没有人篡改通道：

证书链信任验证：X.509证书指ding颁发证书的证书颁发机构（CA）的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名，到期（以及其他检查范围，例如撤销，基本约束，策略约束等），从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书，没有违规，则验证成功。

主机名验证：建立信任链后，客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。

当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时，可能会发生以下错误使用情况。

证明所有证书

应用程序实现一个自定义的TrustManager，使其逻辑将信任每个呈现的服务器证书，而不执行信任链验证。

TrustManager [] trustAllCerts = new TrustManager [] {

       新的X509TrustManager（）{

...

  public void checkServerTrusted（X509Certificate [] certs，

                String authType）{}

}

这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验，我们通常会发现开发人员完全禁用证书验证，而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。

当这种情况发生时，它类似于从烟雾探测器中取出电池：检测器（验证）将仍然存在，提供错误的安全感，因为它不会检测烟雾（不可信方）。实际上，当客户端连接到服务器时，验证例程将乐意接受任何服务器证书。

在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上，一些问题询问如何忽略证书错误，获取类似于上述易受攻击的代码的回复。这是关于投piao答案建议禁用任何信任管理。

以上信息由专业从事源代码审计工具fortify工具的华克斯于2024/7/20 5:55:01发布

转载请注明来源：http://m.tz1288.com/qynews/hksxxkj-2788495099.html

上一条：被动房新风系统厂家即时留言「普瑞泰环境设备」

下一条：广东Dic微分干涉视觉检测承诺守信「雅创科技」