fortifysca发现静态代码（静态分析）和运行中的应用（动态分析）中存在的安全漏洞的根源

?发现超过570种的漏洞类型，支持21种开发语言和超过680000个api

?通过协作更快地修复重要的安全问题

?控制已部署软件中已经存在的漏洞，使其不产生危害

?---软件安全流程

?通过利用业界领xian的致力于持续研究应用安全的团队来预防风险

 ---与---和行业的合规标准以及内部策略一致，例如支付卡行业数据安全标准（pci

dss），联邦信息安全管理法案（fisma），萨班斯法案（sox），health insurance portability&accountability act

(hipaa), north american electric reliability corporation (nerc) 标准等。

fortify软件

强化静态代码分析器

使软件更快地生产

资源

---稿

应用安全解决方案可以保护sdlc for devops

学到更多

分析报告

保护您的web应用程序有多好？

（pdf 744kb）

小册

将应用程序安全性构建到整个sdlc中

（pdf 3.21 mb）

在线评估

你的安全行动有多成熟？

---

采取协作方式的it安全

违约回应：为不可避免的准备

相关应用安全产品与服务

脆弱性研究

安全研究

---的脆弱性研究作为可操作的安全智能。

siem

arcsight esm

确定安全事件的优先级，以保护您的业务。

企业安全培训

企业安全大学

---指导，优化您的安全操作和您的安全投资。

企业安全咨询

安全咨询服务

咨询服务，帮助您充分利用您在hpe安全解决方案方面的投资。

如何解决fortify报告的扫描问题

跳到元数据结束

由matthew condell创建，---由charles williams于二零零七年六月二十六日修改，转到元数据的开始

这个页面已经被供应商公开了

图标

题

在扫描我的应用程序时，fortify报告了错误或---。如何解决这些错误？

回答

fortify可能会报告一些不同的错误消息。·支持将测试结果在企业内部进行发布，使开发人员，测试人员，安全人员和管理人员可以通过web浏览器进行查看和审计。这里将列出常见的错误消息以及指向其他技术说明的指针，其中提供了有关如何解决这些问题的信息。要检索错误消息列表，请按照“如何查看fortify报告的错误消息”中的说明进行操作。它也可能有助于生成调试日志文件，可以---地了解问题。

常见的错误消息及其解决方案包括：

错误代码

错误信息

笔记

n / a分析期间没有发生---没有发生错误。扫描---去

n / a执行asp.net预编译时出错如何解决“执行asp.net预编译时出错”

-1错位的关闭标签[...]此错误可能不会影响扫描结果，但建议检查引用的文件以查看是否有错放的html标签。

1001，1381，1554，10000，...

解析文件或语法错误时出错如何解决文件解析或语法错误

1103转换器执行失败。这是fortify 16.20扫描c＃6 / vb 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息：fortify 16.20“c＃6 / vb 14”中的“转换器执行失败”错误

1105，1480没有足够的内存可用来完成分析增加分配给fortify的内存量：如何增加fortify进行翻译的内存

1114功能。 。 。对于详尽的数据流分析来说太复杂了，进一步的分析将被跳过（堆栈）如何解决“功能...太复杂”错误

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则---

我们的贡献：强制性的sca规则

为了检测上述不安全的用法，我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题，因为它们是厚---和android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个hostnameverifier时，该规则被触发，并且它总是返回true。

<谓词>;

 <！[cdata [

函数f：f.name是“verify”和f.enclosingclass.supers

包含[class：name ==“javax.net.ssl.hostnameverifier”]和

f.parameters [0] .type.name是“java.lang.string”和

f.parameters [1] .type.name是“javax.net.ssl.sslsession”和

f.returntype.name是“boolean”，f包含

[returnstatement r：r.expression.constantvalue m---hes“true”]

 ]]>;

;

过度允许的---管理器：当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。

函数f：f.name是“checkservertrusted”和

f.parameters [0] .type.name是“java.security.cert.x509certificate”

和f.parameters [1] .type.name是“java.lang.string”和

f.returntype.name是“void”而不是f包含[throwstatement t：

t.expression.type.definition.supers包含[class：name ==

“（javax.security.cert.certificateexception | java.security.cert.certificateexception）”]

缺少主机名验证：当代码使用低级sslsocket api并且未设置hostnameverifier时，将触发该规则。

经常被误用：自定义hostnameverifier：当代码使用---httpsurlconnection api并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义sslsocketfactory：当代码使用---httpsurlconnection api并且它设置自定义sslsocketfactory时，该规则被触发。

我们决定启动“经常被---”的规则，因为应用程序正在使用---api，并且应该手动---这些方法的重写。

规则包可在github上获得。这些检查应始终在源代码分析期间执行，以---代码不会引入不安全的ssl / tls使用。

http://github.com/gdssecurity/jsse_fortify_sca_rules

authorandrea scaduto |---关闭|分享文章分享文章

标签tagcustom规则，categoryapplication安全性中的tagsdl，categorycustom规则