Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，源代码检测工具fortifysca价格，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则Fortify软件Fortifylogo.jpg类型前独立软件厂商行业计算机软件类型软件公司成立2003Kleiner创始人TedSchlein，Perkins，Caufield＆Byers，MikeArmistead，BrianChess，ArthurDo，RogerThornton总部圣马特奥，加利福尼亚州，美国关键人物约翰·杰克（前执行官），雅各布·西（安全研究小组组长），布莱恩·国际象棋（前科学家），亚瑟·杜（前总裁）业主HewlettPackardCompany网站HP软件安全网页和HPFortify软件安全中心服务器Fortify软件，后来被称为FortifyInc.，是一家位于加利福尼亚州的软件安全供应商，成立于2003年，由惠普在2010年收购[1]，成为惠普企业安全产品的一部分[2][3]2010年9月7日，HPE执行官梅格·惠特曼（MegWhitman）宣布，包括Fortify在内的HewlettPackardEnterprise的软件资产将与MicroFocus合并，源代码扫描工具fortifysca价格，以创建一个独立的公司，惠普企业股东将保留多数所有权。微焦点执行官凯文·洛西莫尔（KevinLoosemore）称这项交易“完全符合我们既定的收购策略，源代码扫描工具fortifysca价格，并将重点放在成熟基础设施产品的有效管理上”，并表示MicroFocus旨在“为成熟资产带来盈利空间-约80百分之一-从今天的百分之二十一微科技在三年内现有的46％的水平。“[4]技术咨询weiyuanhuiFortify的技术咨询weiyuanhui由AviRubin，BillJoy，DavidA.Wagner，FredSchneider，GaryMcGraw，GregMorrisett，LiGong，MarcusRanum，MattBishop，WilliamPugh和JohnViega组成。安全研究除了Fortify的分析软件的安全规则外，Fortify还创建了一个维护JavaOpenReview项目[5]和Vulncat安全漏洞分类的安全研究小组。[6]小组成员写了这本书，安全编码与静态分析，并发表了研究，包括JavaScript劫持，[7]攻击构建：交叉构建注入，[8]观察你写的：通过观察程序输出来防止跨站点脚本[9]和动态趋势传播：找不到攻击的脆弱性[10]Fortify软件强化静态代码分析器使软件更快地生产资源新闻稿应用安全解决方案可以保护SDLCforDevops学到更多分析报告保护您的Web应用程序有多好？（PDF744KB）学到更多小册将应用程序安全性构建到整个SDLC中（PDF3.21MB）学到更多在线评估你的安全行动有多成熟？学到更多白皮书采取协作方式的IT安全白皮书白皮书违约回应：为不可避免的准备白皮书相关应用安全产品与服务脆弱性研究安全研究创新的脆弱性研究作为可操作的安全智能。学到更多SIEMArcSightESM确定安全事件的优先级，fortifysca价格，以保护您的业务。学到更多企业安全培训企业安全大学指导，优化您的安全操作和您的安全投资。学到更多企业安全咨询安全咨询服务咨询服务，帮助您充分利用您在HPE安全解决方案方面的投资。fortifysca价格-华克斯信息由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！)