Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HPE安全強(qiáng)化生態(tài)系統(tǒng)

應(yīng)用安全解決方案需要自然地集成到SDLC工作流程中。 Fortify套件使用開放API將應(yīng)用程序安全測試嵌入開發(fā)工具鏈的所有階段;開發(fā)，部署和生產(chǎn)。

更多信息和

您的應(yīng)用安全性如何？

您的公司可能是新的應(yīng)用程序安全性或更成熟的安全性，但是您可以做更多的事情嗎？采取全mian的評估來評估你的立場。

進(jìn)行評估

黑ke的業(yè)務(wù)

了解您xin的競爭對手 - 黑ke - 以及如何破壞他們的業(yè)務(wù)來保護(hù)自己。企業(yè)安全，結(jié)合全mian的安全計(jì)劃和團(tuán)隊(duì)，對于黑ke業(yè)務(wù)的有效計(jì)劃至關(guān)重要。

閱讀完整報(bào)告

服務(wù)

汽車服務(wù)

零售

ServiceMaster轉(zhuǎn)換應(yīng)用程序

ServiceMaster將應(yīng)用程序安全性集成到軟件開發(fā)生命周期（SDLC）和DevOps部署過程中，以生成更安全的軟件，并檢測并防御應(yīng)用程序攻擊。

FortifySCA服務(wù)的方式：

客戶現(xiàn)場服務(wù)

服務(wù)工程師將產(chǎn)品安裝客戶服務(wù)器上，并派技術(shù)人員在客戶的應(yīng)用程序中執(zhí)行代碼安全風(fēng)險(xiǎn)評估

服務(wù)名稱

服務(wù)期限

服務(wù)描述

服務(wù)費(fèi)用

備注

現(xiàn)場源代碼安全掃描服務(wù)

10天

fortify源代碼安全產(chǎn)品可以被使用10天，在一個(gè)項(xiàng)目上執(zhí)行多次掃描

12萬

技術(shù)人員現(xiàn)場安裝產(chǎn)品并輔助器分析代碼安全漏洞，撰寫風(fēng)險(xiǎn)評估報(bào)告

根據(jù)項(xiàng)目需要確定

根據(jù)項(xiàng)目需要確定

根據(jù)項(xiàng)目需要確定

技術(shù)人員現(xiàn)場安裝產(chǎn)品并輔助器分析代碼安全漏洞，源代碼檢測工具fortify代理商，撰寫風(fēng)險(xiǎn)評估報(bào)告

給客戶帶來的好處

能快速幫助客戶定位代碼級別的安全漏洞；

能夠幫助企業(yè)快速評估系統(tǒng)代碼安全風(fēng)險(xiǎn)；

快速提供代碼安全漏洞修復(fù)建議；

指導(dǎo)和培訓(xùn)用戶開發(fā)安全的軟件；

增強(qiáng)系統(tǒng)安全性，抵zhi黑ke惡意攻擊，保護(hù)信息系統(tǒng)資產(chǎn)。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對JSSE API的SCA自定義規(guī)則濫用

我們的貢獻(xiàn)：強(qiáng)制性的SCA規(guī)則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個(gè)自定義規(guī)則中對以下檢查進(jìn)行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因?yàn)樗鼈兪呛窨蛻舳撕虯ndroid應(yīng)用程序的廣泛使用的庫。

超許可主機(jī)名驗(yàn)證器：當(dāng)代碼聲明一個(gè)HostnameVerifier時(shí)，該規(guī)則被觸發(fā)，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當(dāng)代碼聲明一個(gè)TrustManager并且它不會拋出一個(gè)CertificateException時(shí)觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機(jī)名驗(yàn)證：當(dāng)代碼使用低級SSLSocket API并且未設(shè)置HostnameVerifier時(shí)，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義主機(jī)名驗(yàn)證器時(shí)，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義SSLSocketFactory時(shí)，源代碼掃描工具fortify代理商，該規(guī)則被觸發(fā)。

我們決定啟動(dòng)“經(jīng)常被濫用”的規(guī)則，華南fortify代理商，因?yàn)閼?yīng)用程序正在使用API，并且應(yīng)該手動(dòng)審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應(yīng)始終在源代碼分析期間執(zhí)行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關(guān)閉|分享文章分享文章

標(biāo)簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則