fortify哪里有賣-蘇州華克斯信息

FortifySCA與強(qiáng)化SSC之間的差異

Fortify SCA和Fortify SSC有什么區(qū)別？這些軟件產(chǎn)生的報告是否有差異。我知道Fortify SSC是一個基于網(wǎng)絡(luò)的應(yīng)用程序。我可以使用Fortify SCA作為基于Web的應(yīng)用程序嗎？

Fortify SCA以前被稱為源代碼分析器（在fortify 360中），但現(xiàn)在是靜態(tài)代碼分析器。相同的首字母縮略詞，相同的代碼，只是名字改變了。

SSC（“軟件安全中心”）以前稱為Fortify 360 Server。惠普重新命名并進(jìn)行了其他更改。

SCA是一個命令行程序。您通常使用SCA從靜態(tài)代碼分析角度掃描代碼（通過sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打開該文件，或?qū)⑵渖蟼鞯絊SC，您可以在其中跟蹤趨勢。

審計(jì)工作臺與SCA一起安裝;它是一個圖形應(yīng)用程序，源代碼掃描工具fortify哪里有賣，允許您查看掃描結(jié)果，添加審核數(shù)據(jù)，應(yīng)用過濾器和運(yùn)行簡單報告。

另一方面，源代碼審計(jì)工具fortify哪里有賣，SSC是基于網(wǎng)絡(luò)的;這是一個可以安裝到tomcat或您喜歡的應(yīng)用程序服務(wù)器的java。關(guān)于SSC的報告使用不同的技術(shù)，更適he運(yùn)行集中度量。您可以報告特定掃描的結(jié)果，或歷史記錄（當(dāng)前掃描與之前的掃描之間發(fā)生變化）。如果您想要掃描掃描的差異，趨勢，歷史等，請?jiān)谏蟼鱂PR一段時間后使用SSC進(jìn)行報告。

沒有SSC，基本報告功能允許您將FPR文件（二進(jìn)制）轉(zhuǎn)換為xml，pdf或rtf，但只能給出特定掃描的結(jié)果，而不是歷史記錄（當(dāng)前掃描和任何早期的）。

關(guān)閉主題：還有一個動態(tài)分析產(chǎn)品HP WebInspect。該產(chǎn)品還能夠?qū)С鯢PR文件，可以同樣導(dǎo)入到SSC中進(jìn)行報告。如果您希望定期安排動態(tài)掃描，WebInspect Enterprise可以做到這一點(diǎn)。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對JSSE API的SCA自定義規(guī)則濫用

允許所有的行動

應(yīng)用程序不檢查服務(wù)器發(fā)送的數(shù)字證書是否發(fā)送到客戶端正在連接的URL。

Java安全套接字?jǐn)U展（JSSE）提供兩組API來建立安全通信，一個HttpsURLConnection API和一個低級SSLSocket API。

HttpsURLConnection API默認(rèn)執(zhí)行主機(jī)名驗(yàn)證，再次可以通過覆蓋相應(yīng)的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時，大約有12，800個結(jié)果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不開箱即可執(zhí)行主機(jī)名驗(yàn)證。以下代碼是Java 8片段，僅當(dāng)端點(diǎn)標(biāo)識算法與空字符串或NULL值不同時才執(zhí)行主機(jī)名驗(yàn)證。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（發(fā)動機(jī)））;

 }

 ...

}

當(dāng)SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時，識別算法設(shè)置為NULL，因此主機(jī)名驗(yàn)證被默認(rèn)跳過。因此，如果攻擊者在客戶端連接到“”時在網(wǎng)絡(luò)上具有MITM位置，則應(yīng)用程序還將接受為“some-evil-”頒發(fā)的有效的服務(wù)器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當(dāng)使用原始SSLSocket和SSLEngine類時，您應(yīng)該始終在發(fā)送任何數(shù)據(jù)之前檢查對等體的憑據(jù)。 SSLSocket和SSLEngine類不會自動驗(yàn)證URL中的主機(jī)名與對等體憑

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核工作臺和安全編碼插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全編碼包。

國際平臺與架構(gòu)

HP Fortify SCA在以下平臺上安裝時支持雙字節(jié)和國際字符集：

操作系統(tǒng)版本架構(gòu)

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業(yè)務(wù)

Vista Ultimate x86：32位

Oracle Solaris 10 x86

對于非英語平臺，不支持以下內(nèi)容：

操作系統(tǒng)：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架構(gòu)

應(yīng)用服務(wù)器：Jrun，jBoss，BEA Weblogic 10

數(shù)據(jù)庫：DB2

注意：本版本中不包含本地化文檔。

語言

HP Fortify SCA支持以下編程語言：

語言版本

，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++請參見“編譯器”

經(jīng)典ASP（帶VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，DB2，源代碼檢測工具fortify哪里有賣，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

Acti***cript / MXML 3和4

XML 1.0

ABAP / 4

構(gòu)建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或更高版本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統(tǒng)

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發(fā)環(huán)境

適用于Eclipse的HP Fortify軟件安全中心插件和用于Visual Studio的HP Fortify Software Security Center軟件包在以下平臺上受支持：

操作系統(tǒng)IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，fortify哪里有賣，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，3.3，3.4，3.5，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上運(yùn)行的Eclipse 3.4+。但是，HP Fortify軟件安全中心確實(shí)支持在64位平臺上在32位JRE上運(yùn)行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服務(wù)集成：

服務(wù)應(yīng)用版本支持的工具

Bug創(chuàng)建Bugzilla 3.0審核工作臺，

Visual Studio SCP，

Eclipse SCP

惠普質(zhì)量中心9.2，10.0審核工作臺，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平臺上安裝用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安裝HPQC客戶端加載項(xiàng)軟件。

注意：Team Foundation Server集成需要您安裝Visual Studio Team Explorer軟件。