Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。<谓词><！[CDATA[函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]></谓词>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。<谓词><！[CDATA[函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]></谓词>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，源代码扫描工具fortify规则库，CategoryCustom规则FortifySCA报表及测试结果管理功能要求·能够针对客户的个性化需求，勾选报表模板中的内容，并且可以自定义报表模板。包含加入用户企业的LOGO。·提供多种格式的检测报告，如：PDF、Xml，Word等。·提供将测试结果与OWASP2007/2010/2013TOP10漏洞的比较性报表。·能够编辑以往有效成功的修复经验描述在系统中，并可以整合在报告中输出，共享漏洞修复的经验。·测试结果可以以文件形式保存，无需数据库支持，减少部署时间和成本，也可以将测试结果作为测试资产集中存储在商用的数据库中，以便测试资产管理和备份工作。·对企业中多个项目的多次测试结果进行统一管理，源代码扫描工具fortify总代理，能够按项目或项目开发语言等多种方式查看测试结果的发展趋势，帮助管理人员定制安全策略。Fortify软件强化静态代码分析器使软件更快地生产语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。配置此分析器在应用程序的部署配置文件中搜索错误，源代码扫描工具fortify，弱点和策略违规。缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。分享这个于十二月二十四日十二时十七分感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，源代码扫描工具fortify哪里有卖，我将非常感谢。-新手十二月2712at4:221有一个很好的，但干燥的书的主题：amazon.com/Secure-Programming-Static-Analysis-Brian/dp/...-LaJmOnNov812at16:09现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找HTML，JSPforXPath匹配）-lavamunky11月28日13日11:38@LaJmOn有一个非常好的，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：您的源代码被转换为中间模型，该模型针对SCA的分析进行了优化。某些类型的代码需要多个阶段的翻译。例如，需要先将C＃文件编译成一个debug.DLL或.EXE文件，然后将该.NET二进制文件通过.NETSDK实用程序ildasm.exe反汇编成MicrosoftIntermediateLanguage（MSIL）。而像其他文件（如Java文件或ASP文件）由相应的FortifySCA翻译器一次翻译成该语言。SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。匹配被写入FPR文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。源代码扫描工具fortify-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司拥有很好的服务与产品，不断地受到新老用户及业内人士的肯定和信任。我们公司是商盟认证会员，点击页面的商盟客服图标，可以直接与我们客服人员对话，愿我们今后的合作愉快！)