Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，源代码扫描工具fortifysca，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，源代码审计工具fortifysca，CategoryCustom规则Fortify软件Fortify静态代码分析器使软件更快地生产HPFortify静态代码分析器FortifySCAHPFortifySCA和应用程序4.30从您的计算机卸载HPFortifySCA和应用程序4.30的指南您可以在此页面上找到有关如何清除WindowsFortifySCA和Applicati4.30的详细信息。Windows版本由Hewlett-Packard开发。有关Hewlett-Packard的更多信息，请点击这里。HPFortifySCA和应用程序4.30通常在C：﹨ProgramFiles﹨HP_Fortify﹨HP_Fortify_SCA_and_Apps_4.30目录中设置，但是根据安装程序时的用户选项，此位置可能有很大差异。您可以通过单击Windows的“开始”菜单并粘贴命令行C：﹨ProgramFiles﹨HP_Fortify﹨HP_Fortify_SCA_and_Apps_4.30﹨Uninstall_HPFortifySCAandApps_4.30.exe来删除HPFortifySCA和应用程序4.30。请注意，可能会提示您提供管理员权限。Uninstall_HPFortifySCAandApps_4.30.exe是程序的主文件，磁盘上大约需要4.56MB（4785694字节）。以下可执行文件包含在HPFortifySCA和应用程序4.30中。他们在磁盘上占用20.26MB（21239548字节）。Uninstall_HPFortifySCAandApps_4.30.exe（4.56MB）autoupdate-windows.exe（6.90MB）sourceanalyzer.exe（149.50KB）eclipse.exe（312.71KB）关于HPFortifySCA和应用程序4.30版本4.30。使用卸载程序PRO删除HPFortifySCA和应用程序4.30的方法HPFortifySCA和应用程序4.30是软件公司Hewlett-Packard发布的应用程序。有时，华东fortifysca，人们会尝试删除此应用程序。有时这可能很困难，因为手动执行此操作会对Windows程序卸载有所帮助。删除HPFortifySCA和应用程序4.30的jia方式之一是使用AdvancedUninstallerPRO。这是如何做到这一点：1.如果您的Windows系统上没有安装AdvancedUninstallerPRO，请安装它。这是一个很好的步骤，因为卸载程序PRO是一个非常有效的卸载程序和所有的实用程序，以da限度地提高Windows计算机的性能。Fortify软件强化静态代码分析器使软件更快地生产HPFortify静态代码分析器我想知道比较WebInspect与FortifySCA？选项04-01-201209:56PM我将决定仅选择WebInspect和FortifySCA或FortifySCA。与FortifySCA的WebInspect有什么不同？（例如特征比较）WebInspect和FortifySCA都有用于测试如何相同或不同的模块或功能？可以Fortify仅使用源代码扫描还是使用URL扫描？Re：我想知道比较WebInspect与FortifySCA？选项04-05-201201:47PM在这里，您可以在WebInspect论坛中找到更好的运气：华克斯WebInspect是攻击Web应用程序的DAST工具。SCA是用于定位安全漏洞的SAST工具，是源代码。与任何DAST和SAST比较一样，它们都覆盖着重叠和差距，而不是像维恩图。两者可以在惠普的企业控制台后分析中汇集在一起，进行相关和审查。WebInspect可以：-Windows应用程序-只测试实时网址和网络服务-黑盒测试仪，源代码审计工具fortifysca，处SCA：-运行在各种操作系统（Windows，*NIX，Mac）-可以在IDE中，从CLI或构建服务器运行-只测试源代码-白盒测试仪，处苏州华克斯公司-源代码审计工具fortifysca由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展，目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证，标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展，共创美好未来。)