fortify软件
强化静态代码分析器
使软件更快地生产
hp fortify静态代码分析器
fortify sca 5.0设置了一个全mian的新酒吧
fortify sca 5.0通过分析360技术增强了行业领xian的分析仪功能,可以处理安全开发面临的da问题,以及新的不断发展的攻击。通过分析360,fortify sca减少了错误的否定,以---没有错过,同时da限度地减少---,所以开发侧重于关键的代码问题。使用fortify sca 5.0,已经添加或增强了分析功能,以提---,包括:
- ---色彩传播 - 此功能有助于
找到远程可利用的错误,这对于查找---有用
---管理故障和其他与pci有关的错误。
- 基于约束的漏洞--- - 提取一组布尔值
来自代码的约束方程,并使用约束求解器进行排序
错误的编码实践可能被利用的可能性的。
- 过程间数据流分析 - 使用有限状态自动机
通过代码模拟可能的执行路径。
- 关联故障诊断 - 允许用户消除整个
通过将跟随相同的结果相关联的假阳性类
代码模式。
fortify sca 5.0增加了对四种新编程语言的支持
- ---asp - 今天,成千上万的---应用程序写入
---的asp需要针对普通的,的
漏洞,如sql注入和跨站点---。
- cobol - 几十年前发明 - 在应用程序安全性之前很久
cobol的重要性随着企业---而重新浮出水面
系统通过面向服务架构(soa)的举措。
- javasc ript - 今天,javasc ript可能是增长快的编程
语言 - 其安全问题已经有---的记录 - 包括
fortify发现javasc ript---。
- php - 近的扬基集团报告“web 2.0安全列车---”
(andrew jaquith,2017年10月),引用“几个流行应用程序”
基于php框架,如phpbb,具有---的安全性
---记录,源代码扫描工具fortify服务商,“补充说,”php开发人员往往是“sc ripters”
没有正式的安全培训。“强化sca 5.0给了大的和
越来越多的php开发人员自动清理系统代码。
要了解有关fortify sca 5.0的更多信息,请于11月13日上午11点至12点举行fortify网络研讨会“强化sca 5.0:无边界应用安全”。 pacific,华克斯。
关于fortify software,inc.
fortify?软件产品可以保护企业免受关键业务软件应用程序安全漏洞所带来的威胁。其软件安全产品 - fortify sca,fortify manager,fortify tracer和fortify defender - 通过自动化开发和部署安全应用程序的关键流程降低成本和安全风险。 fortify software的客户包括机构和------企业,如---,医liao保健,电子商务,电信,源代码检测工具fortify服务商,出版,保险,系统集成和信息管理。该公司得到ji软件安全和合作伙伴的支持。更多信息,
fortify软件
强化静态代码分析器
使软件更快地生产
“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?
强化针对jsse api的sca自定义规则---
我们的贡献:强制性的sca规则
为了检测上述不安全的用法,我们在hp fortify sca的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于jsse和apache httpclient的代码中的问题,因为它们是厚---和android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个hostnameverifier时,该规则被触发,并且它总是返回true。
<谓词>;
<![cdata [
函数f:f.name是“verify”和f.enclosingclass.supers
包含[class:name ==“javax.net.ssl.hostnameverifier”]和
f.parameters [0] .type.name是“java.lang.string”和
f.parameters [1] .type.name是“javax.net.ssl.sslsession”和
f.returntype.name是“boolean”,黑龙江fortify服务商,f包含
[returnstatement r:r.expression.ctantvalue m---hes“true”]
]]>;
;
过度允许的---管理器:当代码声明一个trustmanager并且它不会抛出一个certificateexception时触发该规则。抛出异常是api管理意外状况的方式。
<谓词>;
<![cdata [
函数f:f.name是“checkservertrusted”和
f.parameters [0] .type.name是“java.security.cert.x509certificate”
和f.parameters [1] .type.name是“java.lang.string”和
f.returntype.name是“void”而不是f包含[throwstatement t:
t.expression.type.definition.supers包含[class:name ==
“(javax.security.cert.certificateexception | java.security.cert.certificateexception)”]
]]>;
;
缺少主机名验证:当代码使用低级sslsocket api并且未设置hostnameverifier时,将触发该规则。
经常被误用:自定义hostnameverifier:当代码使用httpsurlconnection api并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义sslsocketfactory:当代码使用httpsurlconnection api并且它设置自定义sslsocketfactory时,该规则被触发。
我们决定启动“经常被---”的规则,因为应用程序正在使用api,并且应该手动---这些方法的重写。
规则包可在github上获得。这些检查应始终在源代码分析期间执行,以---代码不会引入不安全的ssl / tls使用。
https://github.com/gdssecurity/jsse_fortify_sca_rules
authorandrea scaduto |---关闭|分享文章分享文章
标签tagcustom规则,categoryapplication安全性中的tagsdl,categorycustom规则
fortify sca支持系统平台,能扫描的语言种类是的。
fortify sca能全mian地(五个层面)分析源代码中存在的问题。
fortify sca能够扫描出来350多种漏洞,拥有目前业界权wei的安全规则库,与同步。
fortify sca的测试扫描速度快,约1分钟1万行。
fortify sca提供了---的审计平台和详细的漏洞信息。
fortify sca提供了漏洞的详细中文说明和相应的修复建议。
fortify sca操作简单,使用方便,易用,界面设计人性化。
fortify sca获得多项国际大奖,源代码审计工具fortify服务商,目前市场占有率第yi。
fortify sca是唯yi一个被国内多家安全测评机构所---并使用的代码安全测试产品。
fortify sca 在600多家客户,在国内也有30多家客户,丰富的实施经验,国内拥有的服务团队和售后支持团队。
源代码检测工具fortify服务商-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供---的产品和服务。欢迎来电咨询!联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/279662627.html
关键词:
滇公网安备 53011202000392号