Fortify sca——軟件安全的

領(lǐng)xian的市場(chǎng)份額

全世界da的10大銀行的9家、大型IT基建供應(yīng)商、大型獨(dú)立軟體公司

支持市場(chǎng)上流xing、多樣化的編程語(yǔ)言

領(lǐng)xian解決方案

獲獎(jiǎng)產(chǎn)品支持整個(gè)開(kāi)發(fā)周期

超過(guò)150項(xiàng)專(zhuān)利

龐大的安全編碼規(guī)則包

的安裝部署

與Fortune100

企業(yè)及大型 ISVs

開(kāi)發(fā)出來(lái)的jia做法

由世界頂jian安全專(zhuān)家鑒定

軟件安全問(wèn)題的產(chǎn)生的根源：

如今的黑ke攻擊主要利用軟件本身的安全漏洞，這些漏洞是由不良的軟件架構(gòu)和不安全的編碼產(chǎn)生的。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HPE Security Fortify SCA和SSC是為DevOps SDLC提供動(dòng)力的新功能

關(guān)于本網(wǎng)絡(luò)研討會(huì)

隨著威脅的發(fā)展，應(yīng)用程序的安全性也將如此。 HPE Security Fortify繼續(xù)創(chuàng)建并開(kāi)創(chuàng)新功能，進(jìn)一步自動(dòng)化和簡(jiǎn)化應(yīng)用安全測(cè)試程序。 了解與DevOps要求相一致的新的靜態(tài)掃描進(jìn)展。 了解掃描分析如何進(jìn)一步增強(qiáng)和改進(jìn)審核流程，以提高安全掃描結(jié)果的相關(guān)性。

記錄2016年10月26日27分鐘

由

Fortify的產(chǎn)品經(jīng)理Michael Right，F(xiàn)ortify的產(chǎn)品經(jīng)理Emil Kiner

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書(shū)?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服務(wù)的同時(shí)，我們經(jīng)常開(kāi)發(fā)一系列定制安全檢查和靜態(tài)分析規(guī)則，以檢測(cè)我們?cè)谠创a安全評(píng)估中發(fā)現(xiàn)的不安全的編碼模式。這些模式可以代表特定于正在評(píng)估的應(yīng)用程序，其架構(gòu)/設(shè)計(jì)，使用的組件或甚至開(kāi)發(fā)團(tuán)隊(duì)本身的常見(jiàn)安全漏洞或獨(dú)特的安全弱點(diǎn)。這些自定義規(guī)則經(jīng)常被開(kāi)發(fā)以針對(duì)特定語(yǔ)言，并且可以根據(jù)客戶端使用的或者舒服的方式在特定的靜態(tài)分析工具中實(shí)現(xiàn) - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審核不安全代碼的Scala

為Spring MVC構(gòu)建Fortify自定義規(guī)則

用PMD保護(hù)發(fā)展

在本博客文章中，我將專(zhuān)注于開(kāi)發(fā)Fortify SCA的PoC規(guī)則，以針對(duì)基于Java的應(yīng)用程序，然而，相同的概念可以輕松擴(kuò)展到其他工具和/或開(kāi)發(fā)語(yǔ)言。

影響Duo Mobile的近漏洞證實(shí)了Georgiev等人的分析，他們展示了各種非瀏覽器軟件，庫(kù)和中間件中SSL / TLS證書(shū)驗(yàn)證不正確的嚴(yán)重安全漏洞。

具體來(lái)說(shuō)，在這篇文章中，我們專(zhuān)注于如何識(shí)別Java中SSL / TLS API的不安全使用，這可能導(dǎo)致中間人或欺騙性攻擊，從而允許惡意主機(jī)模擬受信任的攻擊。將HP Fortify SCA集成到SDLC中可以使應(yīng)用程序定期有效地掃描漏洞。我們發(fā)現(xiàn)，由于SSL API濫用而導(dǎo)致的問(wèn)題并未通過(guò)開(kāi)箱即用的規(guī)則集確定，因此我們?yōu)镕ortify開(kāi)發(fā)了一個(gè)全mian的12個(gè)自定義規(guī)則包。