源代码检测工具FORTIFY价格即时留言「在线咨询」

fortify软件

强化静态代码分析器

fortify静态代码分析器在软件开发生命周期早期识别源代码中的安全漏洞，并提供jia实践，使开发人员可以更-编码。

通过建立---的软件降低安全风险

security fortify静态代码分析器sca由开发组和安全人员用于分析应用程序的源代码以获取安全问题。 sca识别软件安全漏洞的---原因，并通过代码修复指导提供准确的，风险---的结果，使您的团队能够轻松解决---问题。

使软件更快地生产

如何解决fortify报告的扫描问题

跳到元数据结束

由matthew condell创建，---由charles williams于二零零七年六月二十六日修改，转到元数据的开始

这个页面已经被供应商公开了

图标

题

在扫描我的应用程序时，fortify报告了错误或---。如何解决这些错误？

回答

fortify可能会报告一些不同的错误消息。这里将列出常见的错误消息以及指向其他技术说明的指针，其中提供了有关如何解决这些问题的信息。要检索错误消息列表，请按照“如何查看fortify报告的错误消息”中的说明进行操作。它也可能有助于生成调试日志文件，可以---地了解问题。fortifysca提供增量扫描，可提供更快的扫描时间和结果，提高生产力，从而实现更多扫描，并通过更快地发布应用程序来保持竞争力。

常见的错误消息及其解决方案包括：

错误代码

错误信息

笔记

n / a分析期间没有发生---没有发生错误。扫描---去

n / a执行asp.net预编译时出错如何解决“执行asp.net预编译时出错”

-1错位的关闭标签[...]此错误可能不会影响扫描结果，但建议检查引用的文件以查看是否有错放的html标签。

1001，1381，1554，10000，...

解析文件或语法错误时出错如何解决文件解析或语法错误

1103转换器执行失败。这是fortify 16.20扫描c＃6 / vb 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息：fortify 16.20“c＃6 / vb 14”中的“转换器执行失败”错误

1105，1480没有足够的内存可用来完成分析增加分配给fortify的内存量：如何增加fortify进行翻译的内存

1114功能。 。 。对于详尽的数据流分析来说太复杂了，进一步的分析将被跳过堆栈如何解决“功能...太复杂”错误

强化sca 5.0扩展应用程序保护

fortify软件更新app-dev安全和管理套件。

作者：michael desmond 11/01/2017 fortify software inc.计划出货fortify sca 5.0，该版本是该公司---应用开发---件的更新版本。

fortify sca 5.0目前处于beta版，预计将在年底前发货，是由三个模块组成的源代码分析器。 fortify tracer扫描代码并防止缺陷在设计生命周期的检查部分; fortify defender监视部署的应用程序代码，防止实时攻击;而fortify manager提供了一个基于web的仪表板，用于监控活动和调整配置。使用方便通过---，插件和工具集成到任何环境中，以便开发人员能够快速轻松地启动和运行。

新版本5是通过team server web界面实现的增强协作，使fortify sca仪表板轻触实时数据流。 fortify产品和服务---副总裁barmak meftah表示，新的仪表板允许管理员为不同的团队制定不同的角色和政策。

“到目前为止，我们的终端用户已经是一个---的打击，”meftah说。

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则-

允许所有的行动

应用程序不检查服务器发送的数字---是否发送到---正在连接的url。

java---接字扩展jsse提供两组api来建立安全通信，一个---httpsurlconnection api和一个低级sslsocket api。

httpsurlconnection api默认执行主机名验证，再次可以通过覆盖相应的hostnameverifier类中的verify方法来禁用在github上搜索以下代码时，大约有12,800个结果。

hostnameverifier allhostsvalid = new hostnameverifier{

public boolean verifystring hostname，sslsession session{

         返回真

  }

};

sslsocket api不开箱即可执行主机名验证。以下代码是java 8片段，仅当端点标识算法与空字符串或null值不同时才执行主机名验证。

private void checktrustedx509certificate [] chain，string authtype，sslengine engine，boolean isclient

throws certificateexception {

 ...

 string identityalg = engine.getsslparameters。

           getendpointidentificationalgorithm;

 ifidentityalg！= null && identityalg.length！= 0{

           checkidentitysession，chain [0]，identityalg，isclient，

                   getrequestedservernames发动机;

当ssl / tls---使用原始的sslsocketfactory而不是httpsurlconnection包装器时，识别算法设置为null，因此主机名验证被默认跳过。因此，如果攻击者在---连接到“domain.com”时在网络上具有mitm位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器---。fortifysca源代码安全风险评估服务服务背景软件源代码的安全性越来越重要，黑ke越来越趋向利用软件代码的安全漏洞攻击系统，几乎75%的黑ke攻击事件与软件代码安全相关。

这种记录的行为被掩埋在jsse参考指南中：

“当使用原始sslsocket和sslengine类时，您应该始终在发送任何数据之前检查对等体的凭据。 sslsocket和sslengine类不会自动验证url中的主机名与对等体凭