HPFortifySCA簡(jian)介

1.軟件基本功能

·        

安全漏洞檢測需擁有(you)目前(qian)業界(jie)quan威的(de)代碼(ma)漏洞規則庫，能夠檢測出(chu)600種(zhong)以上的(de)問題

·        

支持多種(zhong)常見編程語言，源代碼檢測工具fortify服務(wu)商，包括，C，C++，C#，Classic

ASP， Flex/Acti***cript，fortify服務商，Java，JavaScript/AJAX，JSP，Objective

C，PL/SQL，PHP，T-SQL，VB.NET，VBScript，源代碼掃描工具fortify服務商，VB6，XML/HTML，Python，

ColdFusion， COBOL，源代碼掃描工(gong)具(ju)fortify服務商， ABAP等語言。

·        

支持多種IDE，較好地和現有成熟的軟(ruan)件(jian)開發環境集(ji)成。如(ru)：Visual Studio 2003、2005、2008、2010、2012，Eclipse 2.X、 3.X，WSAD，RAD工具等(deng)。

·        

支(zhi)持多種操作(zuo)(zuo)系統，即可以(yi)安裝在所(suo)有主流操作(zuo)(zuo)系統中(zhong)，如：Windows、 Linux 、AIX、HP-Unix、 Solaris、Mac OS等。

·        

工具(ju)生成的測(ce)試結果報告文(wen)檔包含(han)詳盡的中文(wen)漏洞(dong)說明(ming)和(he)修復指導(dao)建議。

·        

工(gong)具的(de)技術達到(dao)國際ling先(xian)水平(ping)和地位，有(you)國際/國內機構的(de)獎勵和證書或(huo)對WASC/OWASP組織有(you)重要貢獻。在ju的(de)IT研究(jiu)咨詢機構Gartner的(de)xin報告中，應該位于魔力象限(xian)的(de)di一(yi)象限(xian)業界地位。

Fortify軟件

強化產(chan)品包括靜態(tai)應用(yong)程序(xu)(xu)安(an)(an)全(quan)(quan)測試[11]和(he)(he)動態(tai)應用(yong)程序(xu)(xu)安(an)(an)全(quan)(quan)測試[12]產(chan)品，以及在軟件(jian)應用(yong)程序(xu)(xu)生命周(zhou)期內支持軟件(jian)安(an)(an)全(quan)(quan)保(bao)障或可(ke)重(zhong)復和(he)(he)可(ke)審計的(de)安(an)(an)全(quan)(quan)行為的(de)產(chan)品和(he)(he)服務(wu)。 13]

2011年2月(yue)，Fortify還宣布了Fortify OnDemand，一個靜態(tai)和(he)動態(tai)的應(ying)用(yong)程序測(ce)試服務。[14]

靜(jing)態代碼分析工具列表

HP WebInspect

惠普新(xin)聞稿：“惠普完成Fortify軟(ruan)件的收購，加速應(ying)用程序生(sheng)命周期安全”2010年9月(yue)22日。

跳(tiao)轉軟件搜索安(an)全(quan)漏洞（英文），，2004年4月5日

2004年4月5日，跳起來(lai)加強軟(ruan)件的新方(fang)法

跳起來^桑德(de)，保羅;貝克，莉安娜(na)B.（08-09-08）。 “惠普企業(ye)與(yu)Micro Focus軟件資(zi)產交易達(da)88億美元(yuan)。”路透社。已取消(xiao)2010-09-13

跳起來^“開源社區的質(zhi)量和(he)解決方案”于2016年3月4日在Wayback機上歸檔(dang)。

跳(tiao)起(qi)來^“軟件安全(quan)錯誤(wu)”歸檔2012年(nian)11月27日，在Wayback機。

跳(tiao)起來“JavaScript劫持”于2015年6月23日在Wayback機上存檔(dang)。

跳起(qi)來^“通(tong)過交叉構(gou)(gou)建注入攻(gong)擊構(gou)(gou)建”

跳(tiao)起(qi)來“看你所寫的：通過觀察節目輸(shu)出來防止跨站腳本”

跳起來(lai)^“動態污(wu)染(ran)傳播(bo)”

跳起來強化SCA

跳(tiao)起來^ Fortify Runtime

惠普強化治理

跳(tiao)高^ SD Times，“惠普建立了安全即服(fu)務”2011年(nian)2月15日。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特(te)權身(shen)份管理員安(an)全研究白皮書?

強化針對JSSE API的SCA自定義規(gui)則濫用

我(wo)們的貢獻：強制(zhi)性的SCA規則

為了(le)檢(jian)測上(shang)述不安全的(de)用(yong)法，我們在HP Fortify SCA的(de)12個(ge)自(zi)定義(yi)規(gui)則(ze)中對以下(xia)檢(jian)查(cha)進行了(le)編(bian)碼(ma)。這些規(gui)則(ze)確定了(le)依賴于JSSE和Apache HTTPClient的(de)代碼(ma)中的(de)問題，因為它(ta)們是厚客戶端(duan)和Android應(ying)用(yong)程序的(de)廣(guang)泛使(shi)用(yong)的(de)庫。

超許可主機名驗證器(qi)：當代(dai)碼聲明(ming)一個HostnameVerifier時，該規則被觸(chu)發，并且(qie)它(ta)總是返回'true'。

<謂詞(ci)>

 <！[CDATA [

函數f：f.name是“verify”和(he)f.pers

包(bao)含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是(shi)“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

 ]]>

</謂詞>

過度允許的信(xin)任管理器：當代碼聲(sheng)明一個(ge)TrustManager并且(qie)它不會拋(pao)出一個(ge)CertificateException時(shi)觸發該(gai)規則。拋(pao)出異常是API管理意外(wai)狀況的方式。

<謂詞(ci)>

 <！[CDATA [

函數f：f.name是(shi)“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是(shi)“ng.String”和

f.是“void”而(er)不是f包含[ThrowStatement t：

t.expression.pers包含(han)[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

 ]]>

</謂詞>

缺少(shao)主機名驗證(zheng)：當(dang)代碼(ma)使用低級(ji)SSLSocket API并且未設置(zhi)HostnameVerifier時，將觸發該(gai)規(gui)則。

經常(chang)被(bei)誤用：自(zi)(zi)定(ding)義HostnameVerifier：當(dang)代(dai)碼使用HttpsURLConnection API并且它設置自(zi)(zi)定(ding)義主機名(ming)驗證器(qi)時，該規則被(bei)觸發(fa)。

經常被(bei)誤(wu)用：自(zi)定義SSLSocketFactory：當代碼(ma)使用HttpsURLConnection API并且它設置自(zi)定義SSLSocketFactory時，該規則被(bei)觸發(fa)。

我們(men)決定啟(qi)動“經常被濫用”的(de)規則(ze)，因為(wei)應用程序正在(zai)使用API，并(bing)且(qie)應該手動審(shen)查這(zhe)些方(fang)法的(de)重寫。

規則(ze)包(bao)可在Github上獲得。這些檢查應始終在源代(dai)碼(ma)分析期間執(zhi)行(xing)，以確保代(dai)碼(ma)不會引入不安全的(de)SSL / TLS使(shi)用。

///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論(lun)關閉|分享(xiang)文章分享(xiang)文章

標簽TagCustom規則，CategoryApplication安全性中的TagSDL，CategoryCustom規則