广西源代码扫描工具FORTIFY工具了解更多「华克斯」

fortify sca 简介

fortify sca 是一个静态的、白盒的软件源代码安全测试工具。·迅速、准确定位某一特定安全漏洞所在的源代码行，对问题产生的整个过程进行-，并能以图形化的形式展现。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在

的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的 提供。

1．fortify

sca 扫描引擎介绍：

foritfy   sca

主要包含的五大分析引擎：

z   数据流引擎：-,记录并分析程序中的数据传递过程所产生

的安全问题。

z 语义引擎：分析程序中不安全的函数,方法的使用的安全问题。

z 结构引擎：分析程序上下文环境,结构中的安全问题。

z   控制流引擎：分析程序特定时间,状态下执行操作指令的安全 问题。

z   配置引擎：分析项目配置文件中的-息和配置缺失的安全

问题。

z   特有的 x-tier?跟zong器：跨跃项目的上下层次,贯穿程序来综合 分析问题

fortify sca 的工作原理：

foritfy sca 首先通过调用语言的编译器或者解释器把前端的语言 代码如 java，c/c++源代码转换成一种中间媒体文件 nstnormal syntax tree将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 nst， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。-形成 包含详细漏洞信息的 fpr 结果文件，用 awb 打开查看。-克里希纳·潘迪2月23日16时5分13分请说明，同样的-yzser。

fortify软件

强化静态代码分析器

使软件更快地生产

完整的软件安全测试和管理

安全和devops，“新”sdlc。

应用程序经济的快速增长挑战了传统的软件开发生命周期，推动更多敏捷的流程，自动化和更多的协作跨开发，-和安全操作。看看appsec是什么意思

阅读博客

software_solutionssecure_sdlc_interstitial_image_472x266_tcm245_2355047_tcm245_2355042_tcm245-2355047.jpg

devops的安全状态

应用安全和devops报告2016。

阅读更多

应用安全产品

dast

强化webinspect

自动化的动态安全测试工具，以查找和优先考虑可利用的网络漏洞。

学到更多

sast

自动静态代码分析，帮助开发人员消除漏洞并构建安全软件。

软件安全

fortify软件安全中心

管理整个安全sdlc的软件风险 - 从开发到-和生产。

应用安全测试

按需加强

应用安全即服务。

rasp

强化应用程序防御者

通过运行时应用程序自我保护来保护内部的生产应用程序。

安全代码开发

强化devinspect

通过从一开始就编写安全代码来实现敏捷开发。赋予您的-权力

“将findbugs xml转换为hp fortify sca fpr | main | ca-身份管理员安全研究-?

强化针对jsse api的sca自定义规则-

我们的贡献：强制性的sca规则

为了检测上述不安全的用法，我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题，因为它们是厚-和android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个hostnameverifier时，该规则被触发，并且它总是返回true。

<谓词>;

 <！[cdata [

函数f：f.name是“verify”和f.enclosingclass.supers

包含[class：name ==“javax.net.ssl.hostnameverifier”]和

f.parameters [0] .type.name是“java.lang.string”和

f.parameters [1] .type.name是“javax.net.ssl.sslsession”和

f.returntype.name是“boolean”，f包含

[returnstatement r：r.expression.constantvalue m-hes“true”]

 ]]>;

;

过度允许的-管理器：当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。

函数f：f.name是“checkservertrusted”和

f.parameters [0] .type.name是“java.security.cert.x509certificate”

和f.parameters [1] .type.name是“java.lang.string”和

f.returntype.name是“void”而不是f包含[throwstatement t：

t.expression.type.definition.supers包含[class：name ==

“javax.security.cert.certificateexception | java.security.cert.certificateexception”]

缺少主机名验证：当代码使用低级sslsocket api并且未设置hostnameverifier时，将触发该规则。

经常被误用：自定义hostnameverifier：当代码使用-httpsurlconnection api并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义sslsocketfactory：当代码使用-httpsurlconnection api并且它设置自定义sslsocketfactory时，该规则被触发。

我们决定启动“经常被-”的规则，因为应用程序正在使用-api，并且应该手动-这些方法的重写。

规则包可在github上获得。这些检查应始终在源代码分析期间执行，以-代码不会引入不安全的ssl / tls使用。

http://github.com/gdssecurity/jsse_fortify_sca_rules

authorandrea scaduto |-关闭|分享文章分享文章

标签tagcustom规则，categoryapplication安全性中的tagsdl，categorycustom规则