Fortify软件强化静态代码分析器使软件更快地生产强化SCA5.0扩展应用程序保护Fortify软件更新app-dev安全和管理套件。作者：MichaelDesmond11/01/2017FortifySoftwareInc.计划出货FortifySCA5.0，该版本是该公司旗舰应用开发安全套件的更新版本。FortifySCA5.0目前处于beta版，预计将在年底前发货，是由三个模块组成的源代码分析器。FortifyTracer扫描代码并防止缺陷在设计生命周期的质量检查部分;FortifyDefender监视部署的应用程序代码，防止实时攻击;而FortifyManager提供了一个基于Web的仪表板，用于监控活动和调整配置。新版本5是通过TeamServerWeb界面实现的增强协作，使FortifySCA仪表板轻触实时数据流。Fortify产品和服务副总裁BarmakMeftah表示，新的仪表板允许管理员为不同的团队制定不同的角色和政策。“到目前为止，我们的终端用户已经是一个巨大的打击，”Meftah说。Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用允许所有的行动应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个HttpsURLConnectionAPI和一个低级SSLSocketAPI。HttpsURLConnectionAPI默认执行主机名验证，源代码检测工具fortify版本，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。HostnameVerifierallHostsValid=newHostnameVerifier（）{publicbooleanverify（Stringhostname，SSLSessionsession）{返回真}};SSLSocketAPI不开箱即可执行主机名验证。以下代码是Java8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。privatevoidcheckTrusted（X509Certificate[]chain，StringauthType，SSLEngineengine，booleanisClient）throwsCertificateException{...StringidentityAlg=engine.getSSLParameters（）。getEndpointIdentificationAlgorithm（）;if（identityAlg！=null&&identityAlg.length（）！=0）{checkIdentity（session，chain[0]，identityAlg，源代码检测工具fortifysca价格，isClient，getRequestedServerNames（发动机））;}...}当SSL/TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。这种记录的行为被掩埋在JSSE参考指南中：“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭FortifySCA与强化SSC之间的差异FortifySCA和FortifySSC有什么区别？这些软件产生的报告是否有差异。我知道FortifySSC是一个基于网络的应用程序。我可以使用FortifySCA作为基于Web的应用程序吗？FortifySCA以前被称为源代码分析器（在fortify360中），但现在是静态代码分析器。相同的首字母缩略词，相同的代码，只是名字改变了。SSC（“软件安全中心”）以前称为Fortify360Server。惠普重新命名并进行了其他更改。SCA是一个命令行程序。您通常使用SCA从静态代码分析角度扫描代码（通过sourceanalyzer或），生成FPR文件，然后使用AuditWorkbench打开该文件，或将其上传到SSC，华东源代码检测工具fortify，您可以在其中跟踪趋势。审计工作台与SCA一起安装;它是一个图形应用程序，允许您查看扫描结果，添加审核数据，应用过滤器和运行简单报告。另一方面，源代码检测工具fortify报告中文插件，SSC是基于网络的;这是一个可以安装到tomcat或您喜欢的应用程序服务器的java。关于SSC的报告使用不同的技术，更适he运行集中度量。您可以报告特定扫描的结果，或历史记录（当前扫描与之前的扫描之间发生变化）。如果您想要扫描扫描的差异，趋势，历史等，请在上传FPR一段时间后使用SSC进行报告。没有SSC，基本报告功能允许您将FPR文件（二进制）转换为xml，pdf或rtf，但只能给出特定扫描的结果，而不是历史记录（当前扫描和任何早期的）。关闭主题：还有一个动态分析产品HPWebInspect。该产品还能够导出FPR文件，可以同样导入到SSC中进行报告。如果您希望定期安排动态扫描，WebInspectEnterprise可以做到这一点。苏州华克斯公司-源代码检测工具fortify版本由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！)