6分钟前 云南源代码审计工具fortify价格表询问报价「华克斯」[华克斯25b461e]内容:
Fortify软件
强化静态代码分析器
使软件更快地生产
强化SCA Eclipse修复插件
惠普企业HPE社区
下载
描述
发布
相似的项目
评测
联系我们
描述
用于Eclipse的HPE Security Fortify修补插件(Eclipse Remediation Plugin)与HPE Security Fortify软件安全中心配合使用,可以从Eclipse IDE向软件安全分析添加补救功能。 Eclipse Remediation Plugin是一个轻量级的插件选项,用于不需要Audit Workbench和Eclipse Complete Plugin的扫描和审核功能的开发人员.Eclipse Remediation Plugin可以帮助开发人员快速轻松地了解所报告的漏洞并实施适当的解决方案。开发人员可以在Eclipse中编写代码时解决安全问题。您的组织可以使用软件安全中心的Eclipse修复插件来管理项目,并向相关开发人员分配具体问题。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
我们的贡献:强制性的SCA规则
为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回'true'。
<谓词>
<![CDATA [
函数f:f.name是“verify”和f.pers
包含[Class:name ==“.nameVerifier”]和
f.parameters [0] .是“ng.String”和
f.parameters [1] .是“.ssl.SSLSession”和
f.是“boolean”,f包含
[ReturnStatement r:r.nstantValue matches“true”]
]]>
</谓词>
过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
<谓词>
<![CDATA [
函数f:f.name是“checkServerTrusted”和
f.parameters [0] .是“curity.cert.X509Certificate”
和f.parameters [1] .是“ng.String”和
f.是“void”而不是f包含[ThrowStatement t:
t.expression.pers包含[Class:name ==
“(curity.cert.CertificateException | curity.cert.CertificateException)”]
]]>
</谓词>
缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。
经常被误用:自定义HostnameVerifier:当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义SSLSocketFactory:当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。
我们决定启动“经常被滥用”的规则,因为应用程序正在使用API,并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。
https:///GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则
Fortify软件
强化静态代码分析器
使软件更快地生产
HP Fortify静态代码分析器
HP Fortify SCA通过可用的全mian的安全编码规则提供根本原因的漏洞检测,并支持广泛的语言,平台,构建环境(集成开发环境或IDE)和软件组件API。
进行静态分析,以确定源代码中的安全漏洞的根本原因
检测超过480种类型的软件安全漏洞,涵盖20种开发语言 - 业界多。
根据风险严重程度排序优先级结果,并指导如何修复代码行详细信息中的漏洞
确保符合应用程序安全性要求
硬件要求
HP Fortify Software建议您在具有至少1 GB RAM的高端处理器上安装HP Fortify静态代码分析器(SCA)。
平台和架构
HP Fortify SCA支持以下平台和架构:
操作系统架构版本
Linux x86:32位和64位Fedora Core 7
红帽ES 4,ES5
Novell SUSE 10
Oracle EL 5.2
Windows®x86:32位和64位7 SP1
2017年
win10
Vista业务
Vista Ultimate
Windows 7的
Windows®x86:32位2000
Mac OS x86 10.5,10.6
Oracle Solaris SPARC 8,9,10
86 10
HP-UX PA-RISC 11.11
AIX 5.2 PPC
FreeBSD x86:32位6.3,7.0