FortifySCA系统集成和可扩展性·可以支持和QC、Bugzilla等主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。·漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。提高工作效率，实现集中管理。·可以支持和主流持续集成平台的整合如Hudson/Jenkins，实现从获取xin代码、构建编译、安全测试、结果发布的全自动化，提高工作效率，节省人力成本。·可以支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析，具有强大的可扩展性，提高应用安全测试结果的准确性，并且得到的定位和修复。Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，华中fortifysca价格，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，源代码扫描工具fortifysca价格，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，源代码扫描工具fortifysca价格，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，源代码检测工具fortifysca价格，CategoryApplication安全性中的TagSDL，CategoryCustom规则FortifySCA产品组件及功能SourceCodeAnalysisEngine（源代码分析引擎）数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题结构分析引擎-----分析程序上下文环境，结构中的安全问题控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题配置分析引擎-----分析项目配置文件中的敏感信息和配置缺失的安全问题特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题SecureCodingRulepacks?（安全编码规则包）AuditWorkbench（审查工作台）CustomRuleEditor&CustomRuleWizard(规则自定义编辑器和向导)DeveloperDesktop(IDE插件）FortifySCA分析安全漏洞的标准OWASPtop2004/2007/2010/2013/2014(开放式Web应用程序安全项目)2.PCI1.1/1.2/2.0/3.0(国际信用ka资料安全技术PCI标准)3.WASC24+2(Web应用安全联合威胁分类)4.NISTSP800-53Rev.4(美国与技术研究院)5.FISMA(联邦信息安全管理法案)6.SANSTop252009/2010/2011(IT安全与研究组织)7.CWE(MITRE公司安全漏洞词典)华克斯-华中fortifysca价格由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！)