Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特(te)權身份管理員(yuan)安全研究白皮書(shu)?

強化(hua)針對JSSE API的SCA自定義規則(ze)濫用

日期(qi)：2017年6月8日上午7:00

在(zai)(zai)提供GDS安(an)(an)全(quan)SDLC服務的(de)同時，我們(men)經(jing)常開(kai)發(fa)(fa)一系列(lie)定(ding)(ding)制安(an)(an)全(quan)檢查和靜(jing)態(tai)(tai)分(fen)析(xi)規則(ze)，以檢測我們(men)在(zai)(zai)源代碼安(an)(an)全(quan)評估(gu)中(zhong)發(fa)(fa)現(xian)的(de)不安(an)(an)全(quan)的(de)編碼模(mo)式。這(zhe)些模(mo)式可(ke)以代表特(te)定(ding)(ding)于正在(zai)(zai)評估(gu)的(de)應用(yong)程序，其架(jia)構/設計，使用(yong)的(de)組(zu)件或(huo)甚至開(kai)發(fa)(fa)團隊(dui)本身的(de)常見安(an)(an)全(quan)漏洞或(huo)的(de)安(an)(an)全(quan)弱點。這(zhe)些自定(ding)(ding)義規則(ze)經(jing)常被開(kai)發(fa)(fa)以針對特(te)定(ding)(ding)語言，并且可(ke)以根據客(ke)戶(hu)端使用(yong)的(de)或(huo)者舒服的(de)方(fang)式在(zai)(zai)特(te)定(ding)(ding)的(de)靜(jing)態(tai)(tai)分(fen)析(xi)工(gong)具(ju)中(zhong)實現(xian) - 以前(qian)的(de)例(li)子(zi)包括(kuo)FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審(shen)核不安全代(dai)碼的Scala

為Spring MVC構建Fortify自定義規則

用PMD保護發展

在本博客(ke)文章中，我將專注于(yu)(yu)開發Fortify SCA的(de)PoC規則(ze)，以針對基于(yu)(yu)Java的(de)應用(yong)程序(xu)，然(ran)而，相同的(de)概(gai)念可以輕松擴展到(dao)其他工具和/或開發語言。

影響(xiang)Duo Mobile的(de)近(jin)漏(lou)洞(dong)證(zheng)(zheng)實了Georgiev等(deng)人的(de)分析，他們展(zhan)示了各(ge)種非瀏覽器軟件(jian)(jian)，黑龍江fortify采購，庫和中間件(jian)(jian)中SSL / TLS證(zheng)(zheng)書驗(yan)證(zheng)(zheng)不(bu)正確的(de)嚴重安全漏(lou)洞(dong)。

具體來說，源(yuan)代碼(ma)審計工(gong)具fortify采購，在這(zhe)篇(pian)文(wen)章中(zhong)，我(wo)們專注(zhu)于如何識別(bie)Java中(zhong)SSL / TLS API的(de)不安全使用，這(zhe)可(ke)能導致中(zhong)間人或欺騙性攻擊(ji)，從(cong)而允(yun)許惡意主機模擬受(shou)信任的(de)攻擊(ji)。將HP Fortify SCA集(ji)成到SDLC中(zhong)可(ke)以使應(ying)用程序(xu)定期有(you)效地掃描漏洞。我(wo)們發現，由于SSL API濫用而導致的(de)問題并未通過(guo)開(kai)箱即用的(de)規則(ze)集(ji)確(que)定，因此我(wo)們為Fortify開(kai)發了一個全mian的(de)12個自定義(yi)規則(ze)包。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

語義本(ben)分析儀在程序級別檢測(ce)功能和API的潛(qian)在危險用(yong)途。基本(ben)上是一(yi)個聰明的GREP。

配置(zhi)此分析器在應(ying)用程序的部署配置(zhi)文件中搜索錯誤(wu)，弱點和策略違規(gui)。

緩沖區此分析儀檢測(ce)緩沖區溢出(chu)漏(lou)洞，涉(she)及寫入或讀(du)取(qu)比緩沖區容(rong)納的更多數據。

分享這個

于十二(er)月二(er)十四日十二(er)時十七分

感(gan)謝(xie)你(ni)非常有(you)用的信息(xi)。你(ni)知道(dao)這些(xie)分(fen)析儀在內部工作嗎？如果您提供一些(xie)細(xi)節，我(wo)將非常感(gan)謝(xie)。 - 新手十二月27'12 at 4:22

1

有一個很好的(de)，但干燥的(de)書(shu)的(de)主題：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

現在(zai)還有一個內容(rong)分析器，盡(jin)管(guan)這與配(pei)置分析器類似，除非(fei)在(zai)非(fei)配(pei)置文(wen)件中搜索問(wen)題(ti)（例如(ru)查找HTML，JSP for XPath匹配(pei)） - lavamunky 11月28日13日11:38

@LaJmOn有一個非常好的(de)(de)，源代(dai)碼(ma)掃(sao)描工具fortify采購(gou)，但在完(wan)全(quan)不(bu)同(tong)的(de)(de)抽象層次(ci)，源代(dai)碼(ma)檢測工具fortify采購(gou)，我(wo)可以用另一種(zhong)方式(shi)回答這個問題：

您的源代碼被轉換為中間(jian)模(mo)型，該模(mo)型針對SCA的分(fen)析進(jin)行了優化。

某(mou)些類型(xing)的代碼需要多個(ge)(ge)階段(duan)的翻譯(yi)。例如(ru)，需要先將(jiang)C＃文件(jian)編(bian)譯(yi)成一(yi)個(ge)(ge)debug.DLL或(huo)(huo).EXE文件(jian)，然后將(jiang)該.NET二(er)進制文件(jian)通過.NET SDK實用程序ildasm.exe反匯(hui)編(bian)成Microsoft Intermediate Language（MSIL）。而(er)像其他(ta)文件(jian)（如(ru)Java文件(jian)或(huo)(huo)ASP文件(jian)）由相應的Fortify SCA翻譯(yi)器一(yi)次翻譯(yi)成該語言。

SCA將模型(xing)加(jia)載(zai)(zai)到(dao)內存中并(bing)加(jia)載(zai)(zai)分析器。每個分析器以協調的方式加(jia)載(zai)(zai)規則并(bing)將這些角色應用于程序模型(xing)中的功能。

匹配(pei)被寫入(ru)FPR文件，漏(lou)洞匹配(pei)信(xin)息(xi)，安全建議，源代(dai)碼(ma)，源交叉(cha)引用和代(dai)碼(ma)導航信(xin)息(xi)，用戶(hu)過(guo)濾規范(fan)，任(ren)何自定義規則和數字簽名都(dou)壓縮到(dao)包中(zhong)。

HP Fortify

Static

Code Analyzer

(SCA)

 靜態分析–

發現和修(xiu)復(fu)源代碼的(de)安(an)全隱(yin)患

   用戶場景：

     用戶擁有開(kai)發團隊，擁有源代碼

優勢:

跨語言

跨操作平臺

跨IDE環境

掃描速度快

詳細的中文報告

發現安全漏(lou)洞的準確性和(he)全mian性

擁有業界龐大權(quan)wei的(de)代(dai)碼漏洞規(gui)則庫(ku)

擁有da的(de)市場份額和gao的(de)用(yong)hu口碑

支持的語音：

VB.Net

C#.Net

ASP

VBScript

VB6

Java(Android)

JSP

JavaScript

HTML