Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將(jiang)FINDBUGS XML轉換為(wei)HP FORTIFY SCA FPR | MAIN | CA特權身份管理員(yuan)安全研(yan)究(jiu)白(bai)皮書?

強化針對JSSE API的(de)SCA自定義規則(ze)濫(lan)用

我們的貢獻(xian)：強制性的SCA規(gui)則

為了檢(jian)測(ce)上述不安(an)全的(de)(de)用法，我們在HP Fortify SCA的(de)(de)12個(ge)自定義規則中對以下檢(jian)查(cha)進行了編碼。這些規則確定了依賴于JSSE和Apache HTTPClient的(de)(de)代碼中的(de)(de)問題(ti)，因為它(ta)們是厚客戶端和Android應(ying)用程序(xu)的(de)(de)廣(guang)泛使(shi)用的(de)(de)庫。

超(chao)許可主機(ji)名驗證器：當代碼聲明一個HostnameVerifier時，該規則被(bei)觸發，并(bing)且它(ta)總(zong)是返回'true'。

函數f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和(he)

f.parameters [1] .是(shi)“.ssl.SSLSession”和(he)

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過(guo)度允許的信(xin)任管(guan)理(li)器：當代(dai)碼聲明(ming)一個TrustManager并且(qie)它(ta)不會拋出(chu)一個CertificateException時觸發該規(gui)則。拋出(chu)異常是API管(guan)理(li)意外狀況的方式。

函數(shu)f：f.name是“checkServerTrusted”和

f.parameters [0] .是(shi)“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是(shi)“void”而不是(shi)f包含[ThrowStatement t：

t.expression.pers包(bao)含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺(que)少主機(ji)名驗證：當代碼使用低級SSLSocket API并且未設置HostnameVerifier時，將觸發該規(gui)則。

經常(chang)被誤(wu)用：自定(ding)義HostnameVerifier：當代碼使用HttpsURLConnection API并(bing)且(qie)它設(she)置自定(ding)義主機(ji)名驗證器時，該規(gui)則被觸發。

經常被(bei)誤用：自定義SSLSocketFactory：當代碼使(shi)用HttpsURLConnection API并且它(ta)設置自定義SSLSocketFactory時，該(gai)規則被(bei)觸發。

我(wo)們決定(ding)啟動“經常被(bei)濫用(yong)”的(de)規則，因為(wei)應用(yong)程序正在使用(yong)API，并且應該手動審查(cha)這些方法(fa)的(de)重寫(xie)。

規則包可在Github上(shang)獲得(de)。這些檢(jian)查應始終在源代碼分析期間執行，以確(que)保代碼不會(hui)引入不安全的(de)SSL / TLS使用。

///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關閉(bi)|分享文章分享文章

標(biao)簽TagCustom規則(ze)，CategoryApplication安全性中的(de)TagSDL，CategoryCustom規則(ze)

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

資源

新聞稿

應用安全(quan)解決方案可以(yi)保護SDLC for Devops

學到更多

分析報告

保護您的Web應用程序(xu)有多好？

（PDF 744KB）

學到更多

小冊

將應用程序安全性(xing)構(gou)建到整(zheng)個SDLC中

（PDF 3.21 MB）

學到更多

在線評估

你(ni)的(de)安全行動有(you)多成熟？

學到更多

白皮書

采取(qu)協作方式(shi)的IT安全

白皮書

白皮書

違約(yue)回應：為不(bu)可避免的準備

白皮書

相關應用(yong)安全產品與(yu)服(fu)務

脆弱性研究

安全研究

創新的脆弱性研究作(zuo)為可(ke)操作(zuo)的安全智能。

學到更多

SIEM

ArcSight ESM

確(que)定安全事件的優先級(ji)，以保護(hu)您的業(ye)務。

學到更多

企業安全培訓

企業安全大學

指(zhi)導，優化您(nin)的安全(quan)操作和(he)您(nin)的安全(quan)投(tou)資。

學到更多

企業安全咨詢

安全咨詢服務

咨詢服務，源代碼掃描工具fortify版本，幫助您充分利用您在(zai)HPE安全解決方(fang)案方(fang)面的投(tou)資。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

如何修正HP Fortify SCA報(bao)告中的弱點？

HP Fortify SCA，Lucent Sky AVM以(yi)及法規(gui)遵循(xun)

如果(guo)你的(de)(de)組織(zhi)的(de)(de)法規(gui)遵循(xun)要求(qiu)要修(xiu)正HP Fortify SCA找(zhao)(zhao)到的(de)(de)所有結(jie)果(guo)（或是符(fu)合特定條件(jian)的(de)(de)結(jie)果(guo)，例(li)如嚴重和高風險），源(yuan)代碼審計工具fortify版本(ben)，Lucent Sky AVM可以(yi)被調整來找(zhao)(zhao)一一的(de)(de)結(jie)果(guo)，并提供更多的(de)(de)功能 - 修(xiu)正達90％的(de)(de)弱點。

有效果的報告

許(xu)多靜態程(cheng)序碼(ma)(ma)掃描工具是(shi)由資訊(xun)(xun)(xun)安(an)全(quan)(quan)所設計來給其他的資訊(xun)(xun)(xun)安(an)全(quan)(quan)使用。因(yin)此，它們需要人士(shi)操作，源代碼(ma)(ma)檢(jian)測工具fortify版(ban)本，而且產出的報告(gao)和結果(guo)難以實際幫助。Lucent Sky AVM提供為(wei)開發(fa)提供分析結果(guo)以及即時修復(fu)（能(neng)夠(gou)直(zhi)接修正(zheng)如(ru)跨站腳本和SQL注入等常(chang)見弱點的程(cheng)式(shi)碼(ma)(ma)片(pian)段），華北fortify版(ban)本，讓不是(shi)資訊(xun)(xun)(xun)安(an)全(quan)(quan)的使用者能(neng)夠(gou)使用強化程(cheng)式(shi)碼(ma)(ma)的安(an)全(quan)(quan)。

對于(yu)需(xu)要法規遵循報告的企業來說，Lucent Sky AVM能協助(zhu)開(kai)發與資訊安(an)全(quan)團(tuan)隊通過HP Fortify SCA的檢測并減(jian)少(shao)誤報帶來的困(kun)擾(rao)，同時(shi)大(da)幅(fu)地(di)降低(di)強化應用程(cheng)序安(an)全(quan)所需(xu)要的時(shi)間和精(jing)力。進一步了(le)解Lucent Sky AVM和靜態(tai)程(cheng)序碼掃描工具報告的差別，請報告比較表。

修正(zheng)HP Fortify SCA報告中的(de)弱點可以輕松快速

申請(qing)測試來(lai)親自體驗Lucent Sky AVM。想知道Lucent Sky AVM可以如何(he)在(zai)你的環境(jing)中和(he)HP Fortify SCA共(gong)享，別再等了(le)！