全国服务热线: 13862561363

华克斯信息 源代码扫描工具fortify

发布日期 :2023-04-16 13:31发布IP:123.58.44.124编号:11700483
分 类
企业管理软件
单 价
电议
有效期至
长期有效
咨询电话
0512-62382981
手机
13862561363
Email
sinocax@sinocax.com
在线咨询
点击这里给我发消息
让卖家联系我
详细介绍

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展(JSSE)提供两组API来建立安全通信,一个HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证,再次可以通过覆盖相应的HostnameVerifier类中的verify()方法来禁用(在GitHub上搜索以下代码时,大约有12,800个结果)。

HostnameVerifier allHostsValid = new HostnameVerifier(){

public boolean verify(String hostname,SSLSession session){

返回真

}

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段,仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted(X509Certificate [] chain,String authType,SSLEngine engine,boolean isClient)

throws CertificateException {

...

String identityAlg = engine.getSSLParameters()。

getEndpointIdentificationAlgorithm();

if(identityAlg!= null amp;amp; identityAlg.length()!= 0){

checkIdentity(session,chain [0],identityAlg,源代码扫描工具fortify,isClient,

getRequestedServerNames(发动机));

}

...

}

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时,识别算法设置为NULL,源代码扫描工具fortify规则,因此主机名验证被默认跳过。因此,如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置,则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中:

“当使用原始SSLSocket和SSLEngine类时,您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭








Fortify软件

强化静态代码分析器

使软件更快地生产

DevOps的安全状态

应用安全和DevOps报告2017

阅读更多

主要特征

高xiao

通过帮助开发人员通过增量扫描来提高编程效率,从而提高扫描时间,获得更快的结果,并加快软件投入生产所需的时间。

全mian

支持各种开发环境,语言,平台和框架,以在混合开发和生产环境中实现安全评估。

准确

由Fortify软件安全研究团队扩展和自动更新的da和完整的安全编码规则引导。

使用方便

通过脚本,插件和工具集成到任何环境中,以便开发人员能够快速轻松地启动和运行。

适用于任何应用程序

Fortify SCA支持的编程语言,可以识别所有类型的应用程序的风险,并随着业务需求的增长而扩展。



Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

Fortify软件通过引入Fortify SCA 5.0设置安全代码开发的行业标准

2017年10月23日06:29 AM

市场领xian的企业级应用安全解决方案供应商Fortify?Software Inc.今天推出Fortify SCA 5.0,这是第五代屡获殊荣的源代码分析软件。 Fortify SCA是业界强大的静态分析解决方案,旨在帮助企业消除其开发应用程序中的安全漏洞。 Fortify的xin版本Fortify SCA 5.0集成了新的功能,为应用程序安全性制定了新的行业标准,源代码扫描工具fortify sca价格,包括几个行业第yi:

- 由向导驱动创建由不是的人定制的安全规则

软件开发人员

- 实现软件开发团队之间的协作

- 防范新类别的漏洞

应用安全

- 支持编程语言,包括PHP,Javascript(Ajax),

经典ASP / VB脚本(VB 6)和COBOL的有限版本

据Gartner介绍,源代码扫描工具fortify 价格,“企业必须采用源代码扫描技术和流程,因为需求是战略性的。” (源代码安全测试工具的市场定义和供应商选择标准,2017年5月,Neil MacDonald和Joseph Feiman)。由于应用程序安全性将自身确定为组织开发自己的应用程序的“必须”,所以安全的开发过程必须更紧密地集成到其日常活动中。 Fortify已经是应用程序安全性的市场,已经纳入了其客户群体的反馈,为企业安全开发生命周期带来协作,定制和更全mian的保护。

Fortify执行官John M. Jack说:“我们的客户群的广度和深度使我们能够洞察世界shangda的应用程序安全部署,以及组织如何使用这种技术的详细知识。 “这些业务面临不断的安全威胁和客户根据他们所确定的安全级别对其产品和服务进行评估,因此他们花了大量时间评估其安全开发实践,并对任何解决方案都有非常明确的要求随着Fortify SCA 5.0的发布,我们实施了这些市场的反馈,提供满足这些要求的第yi个解决方案和业界有xiao的应用安全解决方案。“



华克斯信息-源代码扫描工具fortify由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。


相关分类
推荐产品
信息搜索
 
loadrunner产品
苏州华克斯信息科技有限公司
  • 地址:苏州工业园区新平街388号
  • 电话:0512-62382981
  • 手机:13862561363
  • 联系人:华克斯
fortify新闻