FortifySCA支持源代码安全风险评估的语言

支持的语言业界，跨层、跨语言地分析代码的漏洞的产生：C， C++， .Net，

Java， JSP，华东fortify总代理，PL/SQL， T-SQL， XML， CFML， JavaScript， PHP， ASP， VB， VBScript；

支持的平台，基本上所有平台都支持：Windows， Solaris， Red Hat Linux，

Mac OS X， HP-UX， IBM AIX；

IDE支持 VS， Eclipse， RAD， WSAD。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，源代码审计工具fortify总代理，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，源代码检测工具fortify总代理，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

Fortify软件

强化静态代码分析器

使软件更快地生产

强化SCA Visual Studio插件

注意：此插件随SCA_and_Tools安装程序一起提供。

用于Visual Studio的HPE Security Fortify软件包（完整软件包）。完整软件包使用HPE Security Fortify静态代码分析器（SCA）和HPE Security Fortify安全编码规则包来定位解决方案和项目中的安全漏洞（包括对以下语言的支持：C / C ++，C＃，Visual Basic .NET和ASP 。净）。扫描结果显示在Visual Studio中，并包括未被覆盖的问题列表，每个问题所代表的漏洞类型的说明以及有关如何解决这些问题的建议。您可以扫描您的代码，源代码检测工具fortify总代理，审核分析结果，并修复此完整包的问题。

用于Visual Studio的HPE Security Fortify修复包（修复包）。修复软件包与HPE Security Fortify软件安全中心（SSC）协同工作，为您的软件安全分析添加补救功能。安装修复软件包后，您可以连接到软件安全中心，并从Visual Studio解决代码中的安全相关问题。您的组织可以使用软件安全中心的修复软件包来管理应用程序，并将具体问题分配给正确的开发人员。修复包专注于修复阶段，使开发人员能够查看报告的漏洞并实施适当的解决方案。

用于Visual Studio的HPE安全扫描包（扫描包）。扫描包使您能够通过Visual Studio在项目和解决方案上使用MSBuild运行SCA扫描。它是一个“轻量级”软件包，它在Visual Studio IDE中占用的空间非常小，仅用于在源代码上配置和运行扫描。扫描包可以解决您的解决方案和项目中的安全漏洞。您可以将扫描结果（FPR文件）上传到软件安全中心，或者在HPE Security Fortify AuditWorkbench中打开它们进行审核。

源代码审计工具fortify总代理-苏州华克斯由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!