fortifysca優(yōu)點

工具支持自動檢測版本更新，工具和掃描規(guī)則可以方便進行更新，可以以線上、線下多種方式進行升級更新。更新頻率不少于4次/年。

·

測試gao效、速度在可接受的范圍內(nèi)。如測試速度不低于1萬行代碼/分鐘。可以隨著CPU核數(shù)和內(nèi)存的增加大幅提高測試速度。

·

提供靈活的掃描分析方式，如支持用IDE插件直接掃描程序的目錄，支持在命令行下掃描等。

Fortify軟件

強化產(chǎn)品包括靜態(tài)應用程序安全測試[11]和動態(tài)應用程序安全測試[12]產(chǎn)品，以及在軟件應用程序生命周期內(nèi)支持軟件安全保障或可重復和可審計的安全行為的產(chǎn)品和服務。 13]

2011年2月，F(xiàn)ortify還宣布了Fortify OnDemand，一個靜態(tài)和動態(tài)的應用程序測試服務。[14]

靜態(tài)代碼分析工具列表

HP WebInspect

惠普新聞稿：“惠普完成Fortify軟件的收購，加速應用程序生命周期安全”2010年9月22日。

跳轉軟件搜索安全漏洞（英文），，2004年4月5日

2004年4月5日，跳起來加強軟件的新方法

跳起來^桑德，保羅;貝克，莉安娜B.（08-09-08）。 “惠普企業(yè)與Micro Focus軟件資產(chǎn)交易達88億美元。”路透社。已取消2010-09-13

跳起來^“開源社區(qū)的質量和解決方案”于2016年3月4日在Wayback機上歸檔。

跳起來^“軟件安全錯誤”歸檔2012年11月27日，在Wayback機。

跳起來“Javascript劫持”于2015年6月23日在Wayback機上存檔。

跳起來^“通過交叉構建注入攻擊構建”

跳起來“看你所寫的：通過觀察節(jié)目輸出來防止跨站腳本”

跳起來^“動態(tài)污染傳播”

跳起來強化SCA

跳起來^ Fortify Runtime

惠普強化治理

跳高^ SD Times，“惠普建立了安全即服務”2011年2月15日。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HPE安全強化生態(tài)系統(tǒng)

應用安全解決方案需要自然地集成到SDLC工作流程中。 Fortify套件使用開放API將應用程序安全測試嵌入開發(fā)工具鏈的所有階段;開發(fā)，部署和生產(chǎn)。

更多信息和下載

您的應用安全性如何？

您的公司可能是新的應用程序安全性或更成熟的安全性，但是您可以做更多的事情嗎？采取全mian的評估來評估你的立場。

進行評估

黑ke的業(yè)務

了解您xin的競爭對手 - 黑ke - 以及如何破壞他們的業(yè)務來保護自己。企業(yè)安全，結合全mian的安全計劃和專家團隊，對于黑ke業(yè)務的有效計劃至關重要。

閱讀完整報告

服務

汽車服務

零售

ServiceMaster轉換應用程序

ServiceMaster將應用程序安全性集成到軟件開發(fā)生命周期（SDLC）和DevOps部署過程中，以生成更安全的軟件，并檢測并防御應用程序攻擊。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

我們的貢獻：強制性的SCA規(guī)則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個自定義規(guī)則中對以下檢查進行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因為它們是厚客戶端和Android應用程序的廣泛使用的庫。

超許可主機名驗證器：當代碼聲明一個HostnameVerifier時，該規(guī)則被觸發(fā)，并且它總是返回'true'。

<謂詞>

<！[CDATA [

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.nstantValue matches“true”]

]]>

</謂詞>

過度允許的信任管理器：當代碼聲明一個TrustManager并且它不會拋出一個CertificateException時觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

<謂詞>

<！[CDATA [

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expssion.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

</謂詞>

缺少主機名驗證：當代碼使用低級SSLSocket API并且未設置HostnameVerifier時，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當代碼使用HttpsURLConnection API并且它設置自定義主機名驗證器時，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當代碼使用HttpsURLConnection API并且它設置自定義SSLSocketFactory時，該規(guī)則被觸發(fā)。

我們決定啟動“經(jīng)常被濫用”的規(guī)則，因為應用程序正在使用API，并且應該手動審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應始終在源代碼分析期間執(zhí)行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關閉|分享文章分享文章

標簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則