fortifysca优点     

工具支持自动检测版本更新，工具和扫描规则可以方便进行更新，可以以线上、线下多种方式进行升级更新。更新频率不少于4次/年。

·        

测试gao效、速度在可接受的范围内。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。

提供灵活的扫描分析方式，如支持用IDE插件直接扫描程序的目录，支持在命令行下扫描等。

FortifySCA扫描分析功能要求

跟踪可yi的输入数据，直到该数据被不安全使用的全过程中，分析数据使用中的安全隐患。

发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，识别出使用特定函数或者过程带来的软件安全的隐患。

jing确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。

自动分析软件的配置和代码的关系，发现在软件配置和代码之间，由于配置丢失或者不一致而带来的安全隐患。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。跳起来“JavaScript劫持”于2015年6月23日在Wayback机上存档。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或***的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者***舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的***近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。Fortify软件强化静态代码分析器使软件更快地生产HPE安全强化生态系统应用安全解决方案需要自然地集成到SDLC工作流程中。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。