Fortify SCA 领xian的市场份额全世界da的银行的9家、大型IT基建供应商、大型独立软体公司支持市场***xing、duo样化的编程語言领xian解決方案获奖产品。支持整个开发周期超过150项庞da的安全编码规则包的安装部署与Fortune100 企业及大型ISVs
开发出來的jia做法由世界顶jian安全鉴定。
成功案例:中国海关、北京信息安全测评中心、国家信息技术安全研究中心、中国建设银行、中国银联、中国邮政储蓄银行
、浦东发展银行、中国民生银行、北京银行、中国平安、中信银行、上海银行、安利集团、中华英才网、、海南航空……
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
允许所有的行动
应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。
Java安全套接字扩展(JSSE)提供两组API来建立安全通信,一个HttpsURLConnection API和一个低级SSLSocket API。
HttpsURLConnection API默认执行主机名验证,再次可以通过覆盖相应的HostnameVerifier类中的verify()方法来禁用(在GitHub上搜索以下代码时,大约有12,800个结果)。
HostnameVerifier allHostsValid = new HostnameVerifier(){
public boolean verify(String hostname,SSLSession session){
返回真
}
};
SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段,源代码审计工具fortify规则,仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。
private void checkTrusted(X509Certificate [] chain,String authType,SSLEngine engine,boolean isClient)
throws CertificateException {
...
String identityAlg = engine.getSSLParameters()。
getEndpointIdentificationAlgorithm();
if(identityAlg!= null && identityAlg.length()!= 0){
checkIdentity(session,chain [0],identityAlg,isClient,
getRequestedServerNames(发动机));
}
...
}
当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时,源代码扫描工具fortify规则,识别算法设置为NULL,因此主机名验证被默认跳过。因此,fortify规则,如果攻击者在客户端连接到“”时在网络上具有MITM位置,则应用程序还将接受为“some-evil-”颁发的有效的服务器证书。
这种记录的行为被掩埋在JSSE参考指南中:
“当使用原始SSLSocket和SSLEngine类时,您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭
Fortify软件
强化静态代码分析器
使软件更快地生产
DevOps的安全状态
应用安全和DevOps报告2017
阅读更多
主要特征
高xiao
通过帮助开发人员通过增量扫描来提高编程效率,从而提高扫描时间,获得更快的结果,并加快软件投入生产所需的时间。
全mian
支持各种开发环境,语言,平台和框架,以在混合开发和生产环境中实现安全评估。
准确
由Fortify软件安全研究团队扩展和自动更新的da和完整的安全编码规则引导。
使用方便
通过脚本,插件和工具集成到任何环境中,源代码检测工具fortify规则,以便开发人员能够快速轻松地启动和运行。
适用于任何应用程序
Fortify SCA支持的编程语言,可以识别所有类型的应用程序的风险,并随着业务需求的增长而扩展。
fortify规则-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供更好的产品和服务。欢迎来电咨询!联系人:华克斯。
