Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

Fortify SCA 5.0设置了一个全mian的新酒吧

Fortify SCA 5.0通过分析360技术增强了行业领xian的分析仪功能，可以处理安全开发面临的da问题，以及新的不断发展的攻击。通过分析360，Fortify SCA减少了错误的否定，以确保没有错过，源代码扫描工具fortify sca，同时da限度地减少误报，所以开发侧重于关键的代码问题。使用Fortify SCA 5.0，已经添加或增强了分析功能，以提高精度，包括：

    - 多维色彩传播 - 此功能有助于

      找到远程可利用的错误，这对于查找特别有用

      隐私管理故障和其他与PCI有关的错误。

    - 基于约束的漏洞排名 - 提取一组布尔值

      来自代码的约束方程，源代码扫描工具fortify sca，并使用约束求解器进行排序

      错误的编码实践可能被利用的可能性的。

    - 过程间数据流分析 - 使用有限状态自动机

      通过代码模拟可能的执行路径。

    - 关联故障诊断 - 允许用户消除整个

      通过将跟随相同的结果相关联的假阳性类

      代码模式。

   Fortify SCA 5.0增加了对四种新编程语言的支持

    - 经典ASP - 今天，成千上万的遗留应用程序写入

      经典的ASP需要针对普通的，的

      漏洞，源代码审计工具fortify sca，如SQL注入和跨站点脚本。

    - COBOL - 几十年前发明 - 在应用程序安全性之前很久

      COBOL的重要性随着企业曝光而重新浮出水面

      系统通过面向服务架构（SOA）的举措。

    - JavaScript - 今天，fortify sca，JavaScript可能是增长快的编程

      语言 - 其安全问题已经有很好的记录 - 包括

      Fortify发现JavaScript劫持。

    - PHP - 近的扬基集团报告“Web 2.0安全列车残骸”

      （Andrew Jaquith，2017年10月），引用“几个流行应用程序”

      基于PHP框架，如phpBB，具有惊人的安全性

      跟踪记录，“补充说，”PHP开发人员往往是“scripters”

      没有正式的安全培训。“强化SCA 5.0给了大的和

      越来越多的PHP开发人员自动清理系统代码。

要了解有关Fortify SCA 5.0的更多信息，请于11月13日上午11点至12点举行Fortify网络研讨会“强化SCA 5.0：无边界应用安全”。 Pacific，华克斯。

关于Fortify Software，Inc.

Fortify?软件产品可以保护企业免受关键业务软件应用程序安全漏洞所带来的威胁。其软件安全产品 - Fortify SCA，Fortify Manager，Fortify Tracer和Fortify Defender - 通过自动化开发和部署安全应用程序的关键流程降低成本和安全风险。 Fortify Software的客户包括机构和财富500强企业，如金融服务，医liao保健，电子商务，电信，出版，保险，系统集成和信息管理。该公司得到世界ji软件安全和合作伙伴的支持。更多信息，

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

fortifySCA审计功能要求

·        

对安全漏洞扫描结果进行汇总，并按照问题的严重性和可能性进行级别的合理划分。如Critical，High，Medium，Low四个级别。

·        

用户能够根据企业自身需要来调整和修改问题的默认分级策略，方便审计。

·        

迅速、准确定位某一特定安全漏洞所在的源代码行，对问题产生的整个过程进行跟踪，并能以图形化的形式展现。

·        

提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。

·        

提供与之前扫描结果的比较，指出本次扫描出来的新问题，并且能够与以前的审计结果进行合并，减少重复审计工作。

·        

支持按文件名、API、漏洞类型、严重等级等进行分类、过滤、查询、统计。支持对漏洞信息的全文检索功能，可以从其中快速检索到指ding类别或者名称的漏洞信息。

源代码扫描工具fortify sca-苏州华克斯信息由苏州华克斯信息科技有限公司提供。源代码扫描工具fortify sca-苏州华克斯信息是苏州华克斯信息科技有限公司今年新升级推出的，以上图片仅供参考，请您拨打本页面或图片上的联系电话，索取联系人：华克斯。