Fortify软件强化静态代码分析器使软件更快地生产如何修正HPFortifySCA报告中的弱点？HPFortifySCA，LucentSkyAVM以及法规遵循如果你的组织的法规遵循要求要修正HPFortifySCA找到的所有结果（或是符合特定条件的结果，例如严重和高风险），LucentSkyAVM可以被调整来找一一的结果，源代码审计工具fortify规则，并提供更多的功能-修正达90％的弱点。有效果的报告许多静态程序码扫描工具是由资讯安全所设计来给其他的资讯安全使用。因此，它们需要人士操作，而且产出的报告和结果难以实际帮助。LucentSkyAVM提供为开发提供分析结果以及即时修复（能够直接修正如跨站脚本和SQL注入等常见弱点的程式码片段），让不是资讯安全的使用者能够使用强化程式码的安全。对于需要法规遵循报告的企业来说，LucentSkyAVM能协助开发与资讯安全团队通过HPFortifySCA的检测并减少误报带来的困扰，同时大幅地降低强化应用程序安全所需要的时间和精力。进一步了解LucentSkyAVM和静态程序码扫描工具报告的差别，请报告比较表。修正HPFortifySCA报告中的弱点可以轻松快速申请测试来亲自体验LucentSkyAVM。想知道LucentSkyAVM可以如何在你的环境中和HPFortifySCA共享，别再等了！FortifySCA支持系统平台，能扫描的语言种类是的。FortifySCA能全mian地（五个层面）分析源代码中存在的问题。FortifySCA能够扫描出来350多种漏洞，拥有目前业界权wei的安全规则库，与世界同步。FortifySCA的测试扫描速度快，约1分钟1万行。FortifySCA提供了强大的审计平台和详细的漏洞信息。FortifySCA提供了漏洞的详细中文说明和相应的修复建议。FortifySCA操作简单，源代码扫描工具fortify规则，使用方便，易用，界面设计人性化。FortifySCA获得多项国际大奖，目前市场占有率第yi。FortifySCA是唯yi一个被国内多家安全测评机构所认可并使用的代码安全测试产品。FortifySCA在600多家客户，在国内也有30多家客户，丰富的实施经验，国内拥有的服务团队和售后支持团队。Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，源代码扫描工具fortify规则，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，北京fortify规则，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则苏州华克斯公司-源代码扫描工具fortify规则由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展，目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证，标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展，共创美好未来。)