Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，黑龙江fortify采购，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，源代码审计工具fortify采购，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

Fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。

配置此分析器在应用程序的部署配置文件中搜索错误，弱点和策略违规。

缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。

分享这个

于十二月二十四日十二时十七分

感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，我将非常感谢。 - 新手十二月27'12 at 4:22

1

有一个很好的，但干燥的书的主题：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一个非常好的，源代码扫描工具fortify采购，但在完全不同的抽象层次，源代码检测工具fortify采购，我可以用另一种方式回答这个问题：

您的源代码被转换为中间模型，该模型针对SCA的分析进行了优化。

某些类型的代码需要多个阶段的翻译。例如，需要先将C＃文件编译成一个debug.DLL或.EXE文件，然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相应的Fortify SCA翻译器一次翻译成该语言。

SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入FPR文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。

HP Fortify

Static

Code Analyzer

(SCA)

 静态分析–

发现和修复源代码的安全隐患

   用户场景：

     用户拥有开发团队，拥有源代码

优势:

跨语言

跨操作平台

跨IDE环境

扫描速度快

详细的中文报告

发现安全漏洞的准确性和全mian性

拥有业界庞大权wei的代码漏洞规则库

拥有da的市场份额和gao的用hu口碑

支持的语音：

VB.Net

C#.Net

ASP

VBScript

VB6

Java(Android)

JSP

JavaScript

HTML

黑龙江fortify采购-华克斯(推荐商家)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来，我们坚持以“诚信为本，稳健经营”的方针，勇于参与市场的良性竞争，使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上，用户至上”的原则，使华克斯在行业软件中赢得了客户的信任，树立了良好的企业形象。 特别说明：本信息的图片和资料仅供参考，欢迎联系我们索取准确的资料，谢谢！