Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，华南fortify服务商，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，源代码检测工具fortify服务商，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则Fortify软件强化静态代码分析器Fortify静态代码分析器在软件开发生命周期早期识别源代码中的安全漏洞，并提供jia实践，使开发人员可以更安全地编码。通过建立更好的软件降低安全风险SecurityFortify静态代码分析器（SCA）由开发组和安全人员用于分析应用程序的源代码以获取安全问题。SCA识别软件安全漏洞的根本原因，源代码扫描工具fortify服务商，并通过代码修复指导提供准确的，风险排名的结果，使您的团队能够轻松解决严重问题。Fortifysca——软件安全的领xian的市场份额全世界da的银行的9家、大型IT基建供应商、大型独立软体公司支持市场上流xing、样化的编程語言领xian解決方案获奖产品支持整个开发周期超过150项庞大的安全编码规则包的安装部署与Fortune100企业及大型ISVs开发出來的jia做法由世界顶jian安全鉴定软件安全问题的产生的根源：如今的黑ke攻击主要利用软件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。华南fortify服务商-华克斯信息由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!)