Fortify软件
强化静态代码分析器
使软件更快地生产
应用安全
HPE Security Fortify提供端到端应用安全解决方案,具有灵活的测试内部部署和按需来覆盖整个软件开发生命周期。
跨SDLC的应用安全
到2020年,IT将需要每年发布120x应用程序。 随着发展速度的加快,源代码检测工具fortify总代理,满足这一需求,源代码审计工具fortify总代理,安全工作就要跟上。 无效安全测试效率低下且无效。 当这种方法与新SDLC的速度,集成和自动化相冲突时,安全性成为创新的障碍。 Fortify解决方案将应用程序安全性作为新的SDLC的自然部分,通过建立安全性实现上市时间。
– HPE Fortify SCA
分析的流程
运用三步走的方法来执行源代码安全风险评估:
u 确定源代码安全风险评估的审查目标
u 使用Fortify执行初步扫描并分析安全问题结果
u 审查应用程序的架构所特有的代码安全问题
在第yi步中,我们使用威胁建模(如果可用)的结果以及对用于构建该应用的架构和技术的理解,其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中,fortify总代理,我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方,初始扫描使我们能够优先考虑风险gao的区域。
在审查主要代码过程中,我们的源代码安全分析人员对代码进行审查来寻找常见安全问题,比如大家熟悉的缓冲区溢出、跨站点脚本,SQL注入等。终审查用于调查本应用程序架构所特有的问题,一般表现为威胁建模或安全特征中出现的威胁,如自定义身份验证或授权程序等。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
安全套接字层(SSL / TLS)是使用加密过程提供身份验证,机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份,必须交换和验证X.509证书。一方当事人进行身份验证后,协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数,保证了数据的完整性。
当使用SSL / TLS时,必须执行以下两个步骤,以确保中间没有人篡改通道:
证书链信任验证:X.509证书指ding颁发证书的证书颁发机构(CA)的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书,没有违规,则验证成功。
主机名验证:建立信任链后,客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。
当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时,可能会发生以下错误使用情况。
证明所有证书
应用程序实现一个自定义的TrustManager,使其逻辑将信任每个呈现的服务器证书,而不执行信任链验证。
TrustManager [] trustAllCerts = new TrustManager [] {
新的X509TrustManager(){
...
public void checkServerTrusted(X509Certificate [] certs,
String authType)fortify总代理
}
这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验,源代码扫描工具fortify总代理,我们通常会发现开发人员完全禁用证书验证,而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。
当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的安全感,因为它不会检测烟雾(不可信方)。实际上,当客户端连接到服务器时,验证例程将乐意接受任何服务器证书。
在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上,一些问题询问如何忽略证书错误,获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何信任管理。
源代码扫描工具fortify总代理-华克斯由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!