全国服务热线: 13862561363

源代码检测工具fortify规则 华克斯 fortify规则

发布日期 :2023-04-23 12:14发布IP:123.58.44.124编号:11763574
分 类
企业管理软件
单 价
电议
有效期至
长期有效
咨询电话
0512-62382981
手机
13862561363
Email
sinocax@sinocax.com
在线咨询
点击这里给我发消息
让卖家联系我
详细介绍

FortifySCA庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

C,

C ,源代码审计工具fortify规则, .Net, Java, JSP,PL/SQL,fortify规则, T-SQL, XML,

CFML

Javascript, PHP, ASP, VB,源代码检测工具fortify规则, VBscript

精que地定位漏洞的产生的全路径

支持不同的软件开发平台

Platform:

Windows, Solaris, Red Hat Linux,

Mac OS X, HP-UX, IBM

AIX

IDEs :

Visual Studio, Eclipse, RAD, WSAD

Source Code Analysis Engine(源代码分析引擎)

数据流分析引擎-----跟踪,记录并分析程序中的数据传递过程的安全问题

语义分析引擎-----分析程序中不安全的函数,方法的使用的安全问题

结构分析引擎-----分析程序上下文环境,结构中的安全问题

控制流分析引擎-----分析程序特定时间,状态下执行操作指令的安全问题

配置分析引擎 -----分析项目配置文件中的敏感信息和配置缺失的安全问题

特有的X-Tier?跟踪qi-----跨跃项目的上下层次,贯穿程序来综合分析问题







Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献:强制性的SCA规则

为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回"true"。

lt;谓词gt;

lt;![CDATA [

函数f:f.name是“verify”和f.enclosingClass.supers

包含[Class:name ==“javax.net.ssl.HostnameVerifier”]和

f.parameters [0] .type.name是“java.lang.String”和

f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和

f.returnType.name是“boolean”,f包含

[ReturnStatement r:r.expression.ctantValue matches“true”]

]]gt;

lt;/谓词gt;

过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

lt;谓词gt;

lt;![CDATA [

函数f:f.name是“checkServerTrusted”和

f.parameters [0] .type.name是“java.security.cert.X509Certificate”

和f.parameters [1] .type.name是“java.lang.String”和

f.returnType.name是“void”而不是f包含[ThrowStatement t:

t.expression.type.definition.supers包含[Class:name ==

“(javax.security.cert.CertificateException | java.security.cert.CertificateException)”]

]]gt;

lt;/谓词gt;

缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。

经常被误用:自定义HostnameVerifier:当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时,该规则被触发。

经常被误用:自定义SSLSocketFactory:当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。

我们决定启动“经常被滥用”的规则,因为应用程序正在使用API,并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。

https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则



Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

HP Fortify SCA通过可用的全mian的安全编码规则提供根本原因的漏洞检测,并支持广泛的语言,平台,构建环境(集成开发环境或IDE)和软件组件API。

进行静态分析,源代码检测工具fortify规则,以确定源代码中的安全漏洞的根本原因

检测超过480种类型的软件安全漏洞,涵盖20种开发语言 - 业界。

根据风险严重程度排序优先级结果,并指导如何修复代码行详细信息中的漏洞

确保符合应用程序安全性要求

硬件要求

HP Fortify Software建议您在具有至少1 GB RAM的处理器上安装HP Fortify静态代码分析器(SCA)。

平台和架构

HP Fortify SCA支持以下平台和架构:

操作系统架构版本

Linux x86:32位和64位Fedora Core 7

红帽ES 4,ES5

Novell SUSE 10

Oracle EL 5.2

Windows?x86:32位和64位7 SP1

2017年

win10

Vista业务

Vista Ultimate

Windows 7的

Windows?x86:32位2000

Mac OS x86 10.5,10.6

Oracle Solaris SPARC 8,9,10

86 10

HP-UX PA-RISC 11.11

AIX 5.2 PPC

FreeBSD x86:32位6.3,7.0



源代码检测工具fortify规则-华克斯-fortify规则由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。


相关分类
推荐产品
信息搜索
 
loadrunner产品
苏州华克斯信息科技有限公司
  • 地址:苏州工业园区新平街388号
  • 电话:0512-62382981
  • 手机:13862561363
  • 联系人:华克斯
fortify新闻