HP Fortify

Static

Code Analyzer

(SCA)

 静态分析–

发现和修复源代码的安全隐患

   用户场景：

     用户拥有开发团队，拥有源代码

优势:

跨语言

跨操作平台

跨IDE环境

扫描速度快

详细的中文报告

发现安全漏洞的准确性和全mian性

拥有业界***庞大***权wei的代码漏洞规则库

拥有***da的市场份额和***gao的用hu口碑

支持的语音：

ASP.Net

VB.Net

C#.Net

ASP

VBScript

VB6

Java(Android)

JSP

JavaScript

HTML

Fortify软件

强化静态代码分析器

使软件更快地生产

HPE Security Fortify SCA和SSC是为DevOps SDLC提供动力的新功能

关于本网络研讨会

随着威胁的发展，应用程序的安全性也将如此。缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。 HPE Security Fortify继续创建并***新功能，进一步自动化和简化应用安全测试程序。 了解与DevOps要求相一致的新的静态扫描进展。 了解扫描分析如何进一步增强和改进***审核流程，以提高安全扫描结果的相关性。

记录2016年10月26日27分钟

由

Fortify的***产品经理Michael Right，Fortify的产品经理Emil Kiner

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个***HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12,800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（发动机））;

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。SCA识别软件安全漏洞的根本原因，并通过代码修复指导提供准确的，风险排名的结果，使您的团队能够轻松解决严重问题。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭

HP Fortify静态代码分析器

我想知道比较WebInspect与Fortify SCA？

选项

04-01-2012 09:56 PM

我将决定仅选择WebInspect和Fortify SCA或Fortify SCA。

与Fortify SCA的WebInspect有什么不同？ （例如特征比较）

WebInspect和Fortify SCA都有用于测试如何相同或不同的模块或功能？

可以Fortify仅使用源代码扫描还是使用URL扫描？

Re：我想知道比较WebInspect与Fortify SCA？

04-05-2012 01:47 PM

在这里，您可以在WebInspect论坛中找到更好的运气：

华克斯

WebInspect是攻击Web应用程序的DAST工具。Fortify软件强化静态代码分析器使软件更快地生产Fortify软件如何工作。 SCA是用于定位安全漏洞的SAST工具，是源代码。与任何DAST和SAST比较一样，它们都覆盖着重叠和差距，而不是像维恩图。两者可以在惠普的企业控制台后分析中汇集在一起，进行相关和审查。

WebInspect可以：

- Windows应用程序

- 只测试实时网址和网络服务

- 黑盒测试仪，***处

SCA：

- 运行在各种操作系统（Windows，* NIX，Mac）

- 可以在IDE中，从CLI或构建服务器运行

- 只测试源代码

- 白盒测试仪，***处