Fortify软件
强化静态代码分析器
使软件更快地生产
HPE安全强化生态系统
应用安全解决方案需要自然地集成到SDLC工作流程中。 Fortify套件使用开放API将应用程序安全测试嵌入开发工具链的所有阶段;开发,部署和生产。
更多信息和
您的应用安全性如何?
您的公司可能是新的应用程序安全性或更成熟的安全性,但是您可以做更多的事情吗?采取全mian的评估来评估你的立场。
进行评估
黑ke的业务
了解您xin的竞争对手 - 黑ke - 以及如何破坏他们的业务来保护自己。企业安全,结合全mian的安全计划和团队,对于黑ke业务的有效计划至关重要。
阅读完整报告
服务
汽车服务
零售
ServiceMaster转换应用程序
ServiceMaster将应用程序安全性集成到软件开发生命周期(SDLC)和DevOps部署过程中,以生成更安全的软件,并检测并防御应用程序攻击。
![](http://img3.dns4.cn/heropic/192713/p2/20220214161133_2656_zs.jpg)
![](http://img3.dns4.cn/heropic/192713/p2/20220214161347_9480_zs.jpg)
![](http://img3.dns4.cn/heropic/192713/p2/20220214161348_5261_zs.jpg)
![](http://img3.dns4.cn/heropic/192713/p2/20220214161349_0261_zs.jpg)
![](http://img3.dns4.cn/heropic/192713/p2/20220214161508_6654_zs.jpg)
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
我们的贡献:强制性的SCA规则
为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回"true"。
<谓词>
<![CDATA [
函数f:f.name是“verify”和f.enclosingClass.supers
包含[Class:name ==“javax.net.ssl.HostnameVerifier”]和
f.parameters [0] .type.name是“java.lang.String”和
f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和
f.returnType.name是“boolean”,f包含
[ReturnStatement r:r.expression.ctantValue matches“true”]
]]>
</谓词>
过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
<谓词>
<![CDATA [
函数f:f.name是“checkServerTrusted”和
f.parameters [0] .type.name是“java.security.cert.X509Certificate”
和f.parameters [1] .type.name是“java.lang.String”和
f.returnType.name是“void”而不是f包含[ThrowStatement t:
t.expression.type.definition.supers包含[Class:name ==
“(javax.security.cert.CertificateException | java.security.cert.CertificateException)”]
]]>
</谓词>
缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。
经常被误用:自定义HostnameVerifier:当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时,源代码检测工具fortify工具,该规则被触发。
经常被误用:自定义SSLSocketFactory:当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。
我们决定启动“经常被滥用”的规则,华东fortify工具,因为应用程序正在使用API,并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。
https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则
Fortify软件
强化静态代码分析器
使软件更快地生产
资源
新闻稿
应用安全解决方案可以保护SDLC for Devops
学到更多
分析报告
保护您的Web应用程序有多好?
(PDF 744KB)
学到更多
小册
将应用程序安全性构建到整个SDLC中
(PDF 3.21 MB)
学到更多
在线评估
你的安全行动有多成熟?
学到更多
白皮书
采取协作方式的IT安全
白皮书
白皮书
违约回应:为不可避免的准备
白皮书
相关应用安全产品与服务
脆弱性研究
安全研究
创新的脆弱性研究作为可操作的安全智能。
学到更多
SIEM
ArcSight ESM
确定安全事件的优先级,以保护您的业务。
学到更多
企业安全培训
企业安全大学
指导,优化您的安全操作和您的安全投资。
学到更多
企业安全咨询
安全咨询服务
咨询服务,帮助您充分利用您在HPE安全解决方案方面的投资。
华东fortify工具-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司拥有很好的服务与产品,不断地受到新老用户及业内人士的肯定和信任。我们公司是商盟认证会员,点击页面的商盟客服图标,可以直接与我们客服人员对话,愿我们今后的合作愉快!