Fortify软件

强化静态代码分析器

使软件更快地生产

HPE安全强化生态系统

应用安全解决方案需要自然地集成到SDLC工作流程中。 Fortify套件使用开放API将应用程序安全测试嵌入开发工具链的所有阶段;开发，部署和生产。

更多信息和

您的应用安全性如何？

您的公司可能是新的应用程序安全性或更成熟的安全性，但是您可以做更多的事情吗？采取全mian的评估来评估你的立场。

进行评估

黑ke的业务

了解您xin的竞争对手 - 黑ke - 以及如何破坏他们的业务来保护自己。企业安全，结合全mian的安全计划和团队，对于黑ke业务的有效计划至关重要。

阅读完整报告

服务

汽车服务

零售

ServiceMaster转换应用程序

ServiceMaster将应用程序安全性集成到软件开发生命周期（SDLC）和DevOps部署过程中，以生成更安全的软件，并检测并防御应用程序攻击。

FortifySCA服务的方式：

客户现场服务

   服务工程师将产品安装客户服务器上，并派技术人员在客户的应用程序中执行代码安全风险评估

 服务名称

 服务期限

 服务描述

   服务费用

 备注

 现场源代码安全扫描服务

 10天

 fortify源代码安全产品可以被使用10天，在一个项目上执行多次扫描

 12万

 技术人员现场安装产品并辅助器分析代码安全漏洞，撰写风险评估报告

 根据项目需要确定

 根据项目需要确定

 根据项目需要确定

 技术人员现场安装产品并辅助器分析代码安全漏洞，源代码检测工具fortify代理商，撰写风险评估报告

给客户带来的好处

 能快速帮助客户定位代码级别的安全漏洞；

 能够帮助企业快速评估系统代码安全风险；

 快速提供代码安全漏洞修复建议；

 指导和培训用户开发安全的软件；

 增强系统安全性，抵zhi黑ke恶意攻击，保护信息系统资产。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回'true'。

<谓词>

 <！[CDATA [

函数f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

 ]]>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

<谓词>

 <！[CDATA [

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

 ]]>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，源代码扫描工具fortify代理商，该规则被触发。

我们决定启动“经常被滥用”的规则，华南fortify代理商，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则

源代码扫描工具fortify代理商-华克斯由苏州华克斯信息科技有限公司提供。源代码扫描工具fortify代理商-华克斯是苏州华克斯信息科技有限公司今年新升级推出的，以上图片仅供参考，请您拨打本页面或图片上的联系电话，索取联系人：华克斯。