Fortify SCA产品组件及功能

Source

Code

Analysis

Engine（源代码分析引擎）

 数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题

 语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题

 结构分析引擎-----分析程序上下文环境,结构中的安全问题

 控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题

 配置分析引擎

-----分析项目配置文件中的敏感信息和配置缺失的安全问题

 特有的X-Tier?跟踪qi-----跨跃项目的上下层次,贯穿程序来综合分析问题

Secure

Coding

Rulepacks

?（安全编码规则包）

Audit

Workbench（审查工作台）

Custom

Rule

Editor

&

RuleWizard(规则自定义编辑器和向导)

DeveloperDesktop

(IDE

插件）

Fortify SCA 分析安全漏洞的标准

OWASP top 2004/2007/2010/2013/2014(开放式Web应用程序安全项目)

2. PCI1.1/1.2/2.0/3.0(国际信用ka资料安全

技术PCI标准)

3. WASC24+2(Web应用安全联合威胁分类)

4. NIST SP800-53Rev.4(美国***与技术研究院)

5. FISMA(联邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全与研究组织)

7. CWE(MITRE公司安全漏洞词典)

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回'true'。

<谓词>

 <！[CDATA [

函数f：f.name是“verify”和f.enclosingClass.supers

包含[Class：name ==“javax.net.ssl.HostnameVerifier”]和

f.parameters [0] .type.name是“java.lang.String”和

f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和

f.returnType.name是“boolean”，f包含

[ReturnStatement r：r.expression.c***tantValue matches“true”]

 ]]>

</谓词>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .type.name是“java.security.cert.X509Certificate”

和f.parameters [1] .type.name是“java.lang.String”和

f.returnType.name是“void”而不是f包含[ThrowStatement t：

t.expression.type.definition.supers包含[Class：name ==

“（javax.security.cert.CertificateException | java.security.cert.CertificateException）”]

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用***HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用***HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用***API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

http://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则

HP Fortify静态代码分析器

Fortify SCA 5.0提供从未在应用程序安全性中提供的功能，涵盖企业需要加速安全开发的三个关键领域：

    - 定制 - 绝大多数今天的企业都有自定义的

      应用程序，安全过程和反映他们的编码风格

      ***竞争力。任何成功的应用安全实现

      必须适应各企业发展需要的***性。

      Fortify SCA 5.0使企业能够为其创建自定义规则

      他们的任务关键应用程序，以及给安全人员

      和其他非开发团队成员有能力创建规则

      分钟，而不是几天，而不需要先前的编码

      经验。

    - 协作 - 安全审核员的扩展团队，合规性

      ***，发展主管和管理软件

      发展跨度时区和组织图。强化SCA 5.0

      使开发人员和审计人员能够在代码审查，安全性方面进行协作

      错误分类和审核作为一个复杂的开发项目的团队。

    - 全mian 

- Fortify帮助企业部署全mian的

      保护过去，现在和未来应用的安全策略。如

      不断变化的黑ke带来了新的漏洞类

      景观和新技术，如Web 2.0。并且继续使用漏洞

      要发展，安全和发展团队必须采取一切可能的步骤

      确保他们的软件。通过PHP和JavaScript支持，Fortify SCA

      5.0帮助开发团队面向未来的应用程序。为了遗产

      应用程序，Fortify SCA 5.0将支持COBOL和Classic ASP

      保护旧的任务关键型应用程序 - 特别是它们

      由SOA部署暴露。

“选择应用程序安全测试技术时，企业应该将这些产品集成到流xing的开发和测试工作室（如Eclipse或Visual Studio）中，分析编程语言的数量以及测试能力的速度和规模，”Joseph说费曼，Gartner副总裁兼Gartner研究员。z控制流引擎：分析程序特定时间,状态下执行操作指令的安全问题。

“存托信托结算公司通过其子公司为股piao，公司和市政***，货币市场工具，***和***担bao证券以及非处fang衍生工具提供***，结算和信息服务，我们是共同基jin和保险交易的领xian处理商，将基jin和运营商与其分销网络联系起来，安全性对我们的业务至关重要，“DTCC***信息安全官员Jim Routh说。 “像许多企业一样，我们的软件基础设施是传统应用程序和新应用程序的结合，因此我们需要一种解决方案，可以处理我们环境中的技术多样性，并将其轻松集成到我们的开发环境中。这样有效“。阅读完整报告服务汽车服务***零售ServiceMaster转换应用程序ServiceMaster将应用程序安全性集成到软件开发生命周期（SDLC）和DevOps部署过程中，以生成更安全的软件，并检测并防御应用程序攻击。

Fortify公司的Barmak Meftah补充说：“Fortify一直是广泛覆盖语言，平台和IDE（集成开发环境）的***，随着这一发布，我们将领导层扩展到四种新语言并支持RSA IDE。产品与服务***副总裁。 “Fortify SCA 5.0为我们的客户提供了更深层次的控制，分析和协作，以保护他们免受许多***流xing和快速发展的Web 2.0编程语言和技术（包括JavaScript和PHP）中的威胁。·支持多种操作系统，即可以安装在所有主流操作系统中，如：Windows、Linux、AIX、HP-Unix、Solaris、MacOS等。