源代碼審計工具fortify版本-蘇州華克斯信息

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

我們的貢獻：強制性的SCA規(guī)則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個自定義規(guī)則中對以下檢查進行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因為它們是厚客戶端和Android應用程序的廣泛使用的庫。

超許可主機名驗證器：當代碼聲明一個HostnameVerifier時，該規(guī)則被觸發(fā)，并且它總是返回'true'。

函數f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當代碼聲明一個TrustManager并且它不會拋出一個CertificateException時觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機名驗證：當代碼使用低級SSLSocket API并且未設置HostnameVerifier時，將觸發(fā)該規(guī)則。

經常被誤用：自定義HostnameVerifier：當代碼使用HttpsURLConnection API并且它設置自定義主機名驗證器時，該規(guī)則被觸發(fā)。

經常被誤用：自定義SSLSocketFactory：當代碼使用HttpsURLConnection API并且它設置自定義SSLSocketFactory時，該規(guī)則被觸發(fā)。

我們決定啟動“經常被濫用”的規(guī)則，因為應用程序正在使用API，并且應該手動審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應始終在源代碼分析期間執(zhí)行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關閉|分享文章分享文章

標簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

資源

新聞稿

應用安全解決方案可以保護SDLC for Devops

學到更多

分析報告

保護您的Web應用程序有多好？

（PDF 744KB）

學到更多

小冊

將應用程序安全性構建到整個SDLC中

（PDF 3.21 MB）

學到更多

在線評估

你的安全行動有多成熟？

學到更多

白皮書

采取協(xié)作方式的IT安全

白皮書

白皮書

違約回應：為不可避免的準備

白皮書

相關應用安全產品與服務

脆弱性研究

安全研究

創(chuàng)新的脆弱性研究作為可操作的安全智能。

學到更多

SIEM

ArcSight ESM

確定安全事件的優(yōu)先級，以保護您的業(yè)務。

學到更多

企業(yè)安全培訓

企業(yè)安全大學

指導，優(yōu)化您的安全操作和您的安全投資。

學到更多

企業(yè)安全咨詢

安全咨詢服務

咨詢服務，源代碼掃描工具fortify版本，幫助您充分利用您在HPE安全解決方案方面的投資。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

如何修正HP Fortify SCA報告中的弱點？

HP Fortify SCA，Lucent Sky AVM以及法規(guī)遵循

如果你的組織的法規(guī)遵循要求要修正HP Fortify SCA找到的所有結果（或是符合特定條件的結果，例如嚴重和高風險），源代碼審計工具fortify版本，Lucent Sky AVM可以被調整來找一一的結果，并提供更多的功能 - 修正達90％的弱點。

有效果的報告

許多靜態(tài)程序碼掃描工具是由資訊安全所設計來給其他的資訊安全使用。因此，它們需要人士操作，源代碼檢測工具fortify版本，而且產出的報告和結果難以實際幫助。Lucent Sky AVM提供為開發(fā)提供分析結果以及即時修復（能夠直接修正如跨站腳本和SQL注入等常見弱點的程式碼片段），華北fortify版本，讓不是資訊安全的使用者能夠使用強化程式碼的安全。

對于需要法規(guī)遵循報告的企業(yè)來說，Lucent Sky AVM能協(xié)助開發(fā)與資訊安全團隊通過HP Fortify SCA的檢測并減少誤報帶來的困擾，同時大幅地降低強化應用程序安全所需要的時間和精力。進一步了解Lucent Sky AVM和靜態(tài)程序碼掃描工具報告的差別，請報告比較表。

修正HP Fortify SCA報告中的弱點可以輕松快速

申請測試來親自體驗Lucent Sky AVM。想知道Lucent Sky AVM可以如何在你的環(huán)境中和HP Fortify SCA共享，別再等了！