fortify價格-蘇州華克斯信息

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

我們的貢獻：強制性的SCA規(guī)則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個自定義規(guī)則中對以下檢查進行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因為它們是厚客戶端和Android應(yīng)用程序的廣泛使用的庫。

超許可主機名驗證器：當代碼聲明一個HostnameVerifier時，該規(guī)則被觸發(fā)，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，源代碼掃描工具fortify價格，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當代碼聲明一個TrustManager并且它不會拋出一個CertificateException時觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機名驗證：當代碼使用低級SSLSocket API并且未設(shè)置HostnameVerifier時，源代碼掃描工具fortify價格，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當代碼使用HttpsURLConnection API并且它設(shè)置自定義主機名驗證器時，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當代碼使用HttpsURLConnection API并且它設(shè)置自定義SSLSocketFactory時，fortify價格，該規(guī)則被觸發(fā)。

我們決定啟動“經(jīng)常被濫用”的規(guī)則，因為應(yīng)用程序正在使用API，并且應(yīng)該手動審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應(yīng)始終在源代碼分析期間執(zhí)行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關(guān)閉|分享文章分享文章

標簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

應(yīng)用安全

HPE Security Fortify提供端到端應(yīng)用安全解決方案，具有靈活的測試內(nèi)部部署和按需來覆蓋整個軟件開發(fā)生命周期。

跨SDLC的應(yīng)用安全

到2020年，IT將需要每年發(fā)布120x應(yīng)用程序。 隨著發(fā)展速度的加快，滿足這一需求，安全工作就要跟上。 無效安全測試效率低下且無效。 當這種方法與新SDLC的速度，集成和自動化相沖突時，源代碼檢測工具fortify價格，安全性成為創(chuàng)新的障礙。 Fortify解決方案將應(yīng)用程序安全性作為新的SDLC的自然部分，通過建立安全性實現(xiàn)上市時間。

FortifySCA服務(wù)可交付材料

源代碼安全風險評估的目標文檔描述了這些內(nèi)容：

l ?針對對黑ke感興趣的資產(chǎn)、代碼實現(xiàn)上的錯誤，這些錯誤將危及這些資產(chǎn)的安全，以及在使用的技術(shù)和編程語言中常見錯誤；

l ?針對每一個已經(jīng)識別漏洞的報告，包括所發(fā)現(xiàn)漏洞的概述、影響和嚴重性以及再現(xiàn)該漏洞的步驟和可用于修復該漏洞缺限的補救措施建議；

l ?終源代碼安全風險評估報告詳細說明本次風險評估結(jié)果、成果和整體印象、審查期間發(fā)現(xiàn)的問題、進行額外審查的建議，以及針對已確定漏洞進行補救的建議。