Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HPE Security Fortify SCA和SSC是為(wei)DevOps SDLC提供動力的新功能(neng)

關于本網絡研討會

隨著威脅的發展，應用程序的安全(quan)性也(ye)將如此。 HPE Security Fortify繼續創(chuang)建并(bing)新功能，源代(dai)碼掃(sao)描工(gong)具fortify服務商，進(jin)(jin)一(yi)步自動化和簡(jian)化應用安全(quan)測試程序。 了解(jie)與DevOps要(yao)求相一(yi)致的新的靜態掃(sao)描進(jin)(jin)展。 了解(jie)掃(sao)描分析如何(he)進(jin)(jin)一(yi)步增強和改進(jin)(jin)審核流程，以提高(gao)安全(quan)掃(sao)描結果(guo)的相關(guan)性。

記錄(lu)2016年10月26日27分鐘

由

Fortify的(de)產品經理(li)Michael Right，Fortify的(de)產品經理(li)Emil Kiner

fortifysca優點     

工具支持自動檢測版本更(geng)新(xin)(xin)，工具和掃描規則可以(yi)方便進行更(geng)新(xin)(xin)，可以(yi)以(yi)線上、線下(xia)多種(zhong)方式進行升(sheng)級更(geng)新(xin)(xin)。更(geng)新(xin)(xin)頻率不少于4次/年(nian)。

·        

測(ce)試gao效(xiao)、速(su)(su)度在可接受的范圍內。如(ru)測(ce)試速(su)(su)度不(bu)低于1萬行(xing)代碼(ma)/分鐘(zhong)。可以隨(sui)著CPU核數和內存的增加大幅提高測(ce)試速(su)(su)度。

·        

提(ti)供(gong)靈活的(de)掃描(miao)分析方式，如支持(chi)(chi)用IDE插(cha)件直接掃描(miao)程(cheng)序的(de)目錄(lu)，源(yuan)代碼檢測工(gong)具fortify服(fu)務(wu)商，支持(chi)(chi)在命令行(xing)下掃描(miao)等。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將(jiang)FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權(quan)身份管(guan)理(li)員安(an)全研究白皮書?

強化針(zhen)對JSSE API的SCA自定義(yi)規則濫用

日期(qi)：2017年6月8日上午7:00

在(zai)(zai)提供GDS安全(quan)(quan)SDLC服(fu)務的(de)(de)(de)(de)同時(shi)，我(wo)們經常開發(fa)一系(xi)列定(ding)(ding)制安全(quan)(quan)檢查和靜態分析規(gui)則(ze)，以(yi)(yi)檢測我(wo)們在(zai)(zai)源代(dai)碼(ma)安全(quan)(quan)評估中發(fa)現的(de)(de)(de)(de)不安全(quan)(quan)的(de)(de)(de)(de)編碼(ma)模式(shi)。這(zhe)些(xie)模式(shi)可以(yi)(yi)代(dai)表特定(ding)(ding)于(yu)正在(zai)(zai)評估的(de)(de)(de)(de)應用(yong)程序，其架構/設計，使用(yong)的(de)(de)(de)(de)組件或甚至開發(fa)團(tuan)隊本身的(de)(de)(de)(de)常見安全(quan)(quan)漏洞或的(de)(de)(de)(de)安全(quan)(quan)弱點(dian)。這(zhe)些(xie)自(zi)定(ding)(ding)義(yi)規(gui)則(ze)經常被開發(fa)以(yi)(yi)針對特定(ding)(ding)語言，并且可以(yi)(yi)根據客戶端(duan)使用(yong)的(de)(de)(de)(de)或者舒(shu)服(fu)的(de)(de)(de)(de)方式(shi)在(zai)(zai)特定(ding)(ding)的(de)(de)(de)(de)靜態分析工具中實現 - 以(yi)(yi)前(qian)的(de)(de)(de)(de)例(li)子包(bao)括FindBugs，PMD，北京(jing)fortify服(fu)務商，Visual Studio以(yi)(yi)及(ji)Fortify SCA。

使用Findbugs審核不安全代碼(ma)的Scala

為(wei)Spring MVC構建Fortify自定義規則

用PMD保護發展

在(zai)本(ben)博客文章(zhang)中，我(wo)將專注于開(kai)發Fortify SCA的PoC規則，以(yi)針對(dui)基(ji)于Java的應用程(cheng)序，然而(er)，相同的概念可以(yi)輕松(song)擴展到(dao)其他(ta)工(gong)具和/或開(kai)發語言。

影響Duo Mobile的(de)近漏洞證實(shi)了Georgiev等人的(de)分析，他(ta)們(men)展示了各種非瀏覽(lan)器軟(ruan)件，源代碼檢測工具fortify服(fu)務商，庫(ku)和中(zhong)間(jian)件中(zhong)SSL / TLS證書(shu)驗(yan)證不正確的(de)嚴重安(an)全漏洞。

具體(ti)來(lai)說，在這篇文(wen)章中(zhong)，我(wo)們專注于(yu)如何識別Java中(zhong)SSL / TLS API的(de)(de)不安全(quan)使(shi)用(yong)，這可能(neng)導致中(zhong)間人或欺騙性攻擊，從而(er)允許惡意主機(ji)模擬受信任的(de)(de)攻擊。將HP Fortify SCA集成到(dao)SDLC中(zhong)可以(yi)使(shi)應用(yong)程(cheng)序定期有效地掃描漏(lou)洞。我(wo)們發現，由于(yu)SSL API濫(lan)用(yong)而(er)導致的(de)(de)問(wen)題并未通過開箱(xiang)即用(yong)的(de)(de)規則集確定，因此我(wo)們為Fortify開發了一個(ge)全(quan)mian的(de)(de)12個(ge)自定義規則包(bao)。