Fortify SCA產(chǎn)品組件及功能

Source

Code

Analysis

Engine（源代碼分析引擎）

數(shù)據(jù)流分析引擎-----跟蹤,記錄并分析程序中的數(shù)據(jù)傳遞過(guò)程的安全問(wèn)題

語(yǔ)義分析引擎-----分析程序中不安全的函數(shù),方法的使用的安全問(wèn)題

結(jié)構(gòu)分析引擎-----分析程序上下文環(huán)境,結(jié)構(gòu)中的安全問(wèn)題

控制流分析引擎-----分析程序特定時(shí)間,狀態(tài)下執(zhí)行操作指令的安全問(wèn)題

配置分析引擎

-----分析項(xiàng)目配置文件中的敏感信息和配置缺失的安全問(wèn)題

特有的X-Tier?跟蹤qi-----跨躍項(xiàng)目的上下層次,貫穿程序來(lái)綜合分析問(wèn)題

Secure

Coding

Rulepacks

?（安全編碼規(guī)則包）

Audit

Workbench（審查工作臺(tái)）

Custom

Rule

Editor

&

Custom

RuleWizard(規(guī)則自定義編輯器和向?qū)?

DeveloperDesktop

(IDE

插件）

FortifySCA 分析安全漏洞的標(biāo)準(zhǔn)

OWASP top 2004/2007/2010/2013/2014(開(kāi)放式Web應(yīng)用程序安全項(xiàng)目)

2. PCI1.1/1.2/2.0/3.0(國(guó)際信用ka資料安全

技術(shù)PCI標(biāo)準(zhǔn))

3. WASC24+2(Web應(yīng)用安全聯(lián)合威脅分類)

4. NIST SP800-53Rev.4(美國(guó)與技術(shù)研究院)

5. FISMA(聯(lián)邦信息安全管理法案)

6. SANS Top25 2009/2010/2011(IT安全與研究組織)

7. CWE(MITRE公司安全漏洞詞典)

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

如何修正HP Fortify SCA報(bào)告中的弱點(diǎn)？

常見(jiàn)的靜態(tài)程序碼掃描工具（又稱原始碼檢測(cè)，白箱掃描），例如HP Fortify SCA，被許多企業(yè)用來(lái)提高資訊安全的透明度以及外部的法規(guī)遵循。但是拿到報(bào)告之后怎么辦呢？

對(duì)于許多開(kāi)發(fā)者來(lái)說(shuō)，HP Fortify SCA的報(bào)告被視為麻煩制造者，因?yàn)樗鼈冸m然指出了弱點(diǎn)（不論是真的或是誤報(bào)），但卻沒(méi)有提供任何修正這些弱點(diǎn)的方法。

有沒(méi)有簡(jiǎn)單的方法能夠修正靜態(tài)程式碼掃描工具找到的弱點(diǎn)呢？

Lucent Sky AVM和靜態(tài)程序碼掃描工具一樣會(huì)指出弱點(diǎn)，同時(shí)提供即時(shí)修復(fù) - 一段安全的程式碼片段，能夠直接插入程式碼中來(lái)修正跨站腳本（XSS），SQL注入和路徑處理這些常見(jiàn)的弱點(diǎn)。

以.NET（C＃和VB.NET）和Java應(yīng)用程式來(lái)說(shuō)，Lucent Sky AVM可以修正多達(dá)90％所找到的弱點(diǎn)。

一起使用HP Fortify SCA和Lucent Sky AVM

HP Fortify SCA只會(huì)告訴你弱點(diǎn)在哪里，而Lucent Sky AVM會(huì)指出它們的位置以及修正方式（并且實(shí)際為你修正他們，你喜歡的話）HP Fortify SCA是被設(shè)計(jì)來(lái)供資安人士使用，因此設(shè)計(jì)理念是找出大量的結(jié)果，再依賴資訊安全專家來(lái)移除其中的誤報(bào).Lucent Sky AVM則是專注于找出會(huì)真正影響應(yīng)用程式安全的弱點(diǎn)，并依照你或你的開(kāi)發(fā)與資訊安全團(tuán)隊(duì)的設(shè)定來(lái)可靠的修正這些弱點(diǎn)。你可以深入了解Lucent Sky AMV的修正流程。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

強(qiáng)化SCA Eclipse修復(fù)插件

惠普企業(yè)HPE社區(qū)

下載

描述

發(fā)布

相似的項(xiàng)目

評(píng)測(cè)

聯(lián)系我們

描述

用于Eclipse的HPE Security Fortify修補(bǔ)插件（Eclipse Remediation Plugin）與HPE Security Fortify軟件安全中心配合使用，可以從Eclipse IDE向軟件安全分析添加補(bǔ)救功能。 Eclipse Remediation Plugin是一個(gè)輕量級(jí)的插件選項(xiàng)，用于不需要Audit Workbench和Eclipse Complete Plugin的掃描和審核功能的開(kāi)發(fā)人員.Eclipse Remediation Plugin可以幫助開(kāi)發(fā)人員快速輕松地了解所報(bào)告的漏洞并實(shí)施適當(dāng)?shù)慕鉀Q方案。開(kāi)發(fā)人員可以在Eclipse中編寫(xiě)代碼時(shí)解決安全問(wèn)題。您的組織可以使用軟件安全中心的Eclipse修復(fù)插件來(lái)管理項(xiàng)目，并向相關(guān)開(kāi)發(fā)人員分配具體問(wèn)題。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書(shū)?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過(guò)程提供身份驗(yàn)證，機(jī)mi性和完整性的廣泛使用的網(wǎng)絡(luò)安全通信協(xié)議。為確保該方的身份，必須交換和驗(yàn)證X.509證書(shū)。一方當(dāng)事人進(jìn)行身份驗(yàn)證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個(gè)安全的散列函數(shù)，保證了數(shù)據(jù)的完整性。

當(dāng)使用SSL / TLS時(shí)，必須執(zhí)行以下兩個(gè)步驟，以確保中間沒(méi)有人篡改通道：

證書(shū)鏈信任驗(yàn)證：X.509證書(shū)指ding頒發(fā)證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu)（CA）的名稱。服務(wù)器還向客戶端發(fā)送中間CA的證書(shū)列表到根CA。客戶端驗(yàn)證每個(gè)證書(shū)的簽名，到期（以及其他檢查范圍，例如撤銷，基本約束，策略約束等），從下一級(jí)到根CA的服務(wù)器證書(shū)開(kāi)始。如果算法到達(dá)鏈中的后一個(gè)證書(shū)，沒(méi)有違規(guī)，則驗(yàn)證成功。

主機(jī)名驗(yàn)證：建立信任鏈后，客戶端必須驗(yàn)證X.509證書(shū)的主題是否與所請(qǐng)求的服務(wù)器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進(jìn)行向后兼容。

當(dāng)安全地使用SSL / TLS API并且可能導(dǎo)致應(yīng)用程序通過(guò)受攻擊的SSL / TLS通道傳輸敏感信息時(shí)，可能會(huì)發(fā)生以下錯(cuò)誤使用情況。

證明所有證書(shū)

應(yīng)用程序?qū)崿F(xiàn)一個(gè)自定義的TrustManager，使其邏輯將信任每個(gè)呈現(xiàn)的服務(wù)器證書(shū)，而不執(zhí)行信任鏈驗(yàn)證。

TrustManager [] trustAllCerts = new TrustManager [] {

新的X509TrustManager（）{

...

public void checkServerTrusted（X509Certificate [] certs，

String authType）{}

}

這種情況通常來(lái)自于自簽證書(shū)被廣泛使用的開(kāi)發(fā)環(huán)境。根據(jù)我們的經(jīng)驗(yàn)，我們通常會(huì)發(fā)現(xiàn)開(kāi)發(fā)人員完全禁用證書(shū)驗(yàn)證，而不是將證書(shū)加載到密鑰庫(kù)中。這導(dǎo)致這種危險(xiǎn)的編碼模式意外地進(jìn)入生產(chǎn)版本。

當(dāng)這種情況發(fā)生時(shí)，它類似于從煙霧探測(cè)器中取出電池：檢測(cè)器（驗(yàn)證）將仍然存在，提供錯(cuò)誤的安全感，因?yàn)樗粫?huì)檢測(cè)煙霧（不可信方）。實(shí)際上，當(dāng)客戶端連接到服務(wù)器時(shí)，驗(yàn)證例程將樂(lè)意接受任何服務(wù)器證書(shū)。

在GitHub上搜索上述弱勢(shì)代碼可以返回13,823個(gè)結(jié)果。另外在StackOverflow上，一些問(wèn)題詢問(wèn)如何忽略證書(shū)錯(cuò)誤，獲取類似于上述易受攻擊的代碼的回復(fù)。這是關(guān)于投piao答案建議禁用任何信任管理。