源代碼掃描工具fortify價(jià)格-fortify價(jià)格-華克斯

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

我們的貢獻(xiàn)：強(qiáng)制性的SCA規(guī)則

為了檢測(cè)上述不安全的用法，我們?cè)贖P Fortify SCA的12個(gè)自定義規(guī)則中對(duì)以下檢查進(jìn)行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因?yàn)樗鼈兪呛窨蛻舳撕虯ndroid應(yīng)用程序的廣泛使用的庫。

超許可主機(jī)名驗(yàn)證器：當(dāng)代碼聲明一個(gè)HostnameVerifier時(shí)，該規(guī)則被觸發(fā)，fortify價(jià)格，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當(dāng)代碼聲明一個(gè)TrustManager并且它不會(huì)拋出一個(gè)CertificateException時(shí)觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機(jī)名驗(yàn)證：當(dāng)代碼使用低級(jí)SSLSocket API并且未設(shè)置HostnameVerifier時(shí)，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義主機(jī)名驗(yàn)證器時(shí)，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義SSLSocketFactory時(shí)，該規(guī)則被觸發(fā)。

我們決定啟動(dòng)“經(jīng)常被濫用”的規(guī)則，因?yàn)閼?yīng)用程序正在使用API，并且應(yīng)該手動(dòng)審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應(yīng)始終在源代碼分析期間執(zhí)行，以確保代碼不會(huì)引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評(píng)論關(guān)閉|分享文章分享文章

標(biāo)簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify SCA支持系統(tǒng)平臺(tái)，能掃描的語言種類是的。

Fortify SCA能全mian地（五個(gè)層面）分析源代碼中存在的問題。

Fortify SCA能夠掃描出來350多種漏洞，擁有目前業(yè)界權(quán)wei的安全規(guī)則庫，與世界同步。

Fortify SCA的測(cè)試掃描速度快，約1分鐘1萬行。

Fortify SCA提供了強(qiáng)大的審計(jì)平臺(tái)和詳細(xì)的漏洞信息。

Fortify SCA提供了漏洞的詳細(xì)中文說明和相應(yīng)的修復(fù)建議。

Fortify SCA操作簡(jiǎn)單，使用方便，易用，界面設(shè)計(jì)人性化。

Fortify SCA獲得多項(xiàng)國(guó)際大獎(jiǎng)，目前市場(chǎng)占有率第yi。

Fortify SCA是唯yi一個(gè)被國(guó)內(nèi)多家安全測(cè)評(píng)機(jī)構(gòu)所認(rèn)可并使用的代碼安全測(cè)試產(chǎn)品。

Fortify SCA 在600多家客戶，源代碼掃描工具fortify價(jià)格，在國(guó)內(nèi)也有30多家客戶，豐富的實(shí)施經(jīng)驗(yàn)，國(guó)內(nèi)擁有的服務(wù)團(tuán)隊(duì)和售后支持團(tuán)隊(duì)。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

強(qiáng)化SCA Visual Studio插件

注意：此插件隨SCA_and_Tools安裝程序一起提供。

用于Visual Studio的HPE Security Fortify軟件包（完整軟件包）。完整軟件包使用HPE Security Fortify靜態(tài)代碼分析器（SCA）和HPE Security Fortify安全編碼規(guī)則包來定位解決方案和項(xiàng)目中的安全漏洞（包括對(duì)以下語言的支持：C / C ++，源代碼檢測(cè)工具fortify價(jià)格，C＃，Visual Basic .NET和ASP 。凈）。掃描結(jié)果顯示在Visual Studio中，并包括未被覆蓋的問題列表，每個(gè)問題所代表的漏洞類型的說明以及有關(guān)如何解決這些問題的建議。您可以掃描您的代碼，審核分析結(jié)果，并修復(fù)此完整包的問題。

用于Visual Studio的HPE Security Fortify修復(fù)包（修復(fù)包）。修復(fù)軟件包與HPE Security Fortify軟件安全中心（SSC）協(xié)同工作，為您的軟件安全分析添加補(bǔ)救功能。安裝修復(fù)軟件包后，源代碼審計(jì)工具fortify價(jià)格，您可以連接到軟件安全中心，并從Visual Studio解決代碼中的安全相關(guān)問題。您的組織可以使用軟件安全中心的修復(fù)軟件包來管理應(yīng)用程序，并將具體問題分配給正確的開發(fā)人員。修復(fù)包專注于修復(fù)階段，使開發(fā)人員能夠查看報(bào)告的漏洞并實(shí)施適當(dāng)?shù)慕鉀Q方案。

用于Visual Studio的HPE安全掃描包（掃描包）。掃描包使您能夠通過Visual Studio在項(xiàng)目和解決方案上使用MSBuild運(yùn)行SCA掃描。它是一個(gè)“輕量級(jí)”軟件包，它在Visual Studio IDE中占用的空間非常小，僅用于在源代碼上配置和運(yùn)行掃描。掃描包可以解決您的解決方案和項(xiàng)目中的安全漏洞。您可以將掃描結(jié)果（FPR文件）上傳到軟件安全中心，或者在HPE Security Fortify AuditWorkbench中打開它們進(jìn)行審核。

源代碼掃描工具fortify價(jià)格-fortify價(jià)格-華克斯由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司位于蘇州工業(yè)園區(qū)新平街388號(hào)。在市場(chǎng)經(jīng)濟(jì)的浪潮中拼博和發(fā)展，目前華克斯在行業(yè)軟件中享有良好的聲譽(yù)。華克斯取得全網(wǎng)商盟認(rèn)證，標(biāo)志著我們的服務(wù)和管理水平達(dá)到了一個(gè)新的高度。華克斯全體員工愿與各界有識(shí)之士共同發(fā)展，共創(chuàng)美好未來。