Fortify软件Fortifyg类型前***软件厂商行业计算机软件类型软件安全保证公司成立2003Kleiner创始人TedSchlein，Perkins，Caufield＆Byers，MikeArmistead，BrianChess，ArthurDo，RogerThornton总部圣马特奥，加利福尼亚州，美国关键人物约翰·杰克（前首席执行官），雅各布·西（安全研究小组组长），布莱恩·国际象棋（前首席科学家），亚瑟·杜（前总裁）业主HewlettPackardCompany网站HP软件安全网页和HPFortify软件安全中心服务器Fortify软件，后来被称为FortifyInc.，是一家位于加利福尼亚州的软件安全供应商，成立于2003年，由惠普在2010年收购[1]，成为惠普企业安全产品的一部分[2][3]2010年9月7日，HPE首席执行官梅格·惠特曼（MegWhitman）宣布，FortifySCA咨询，包括Fortify在内的HewlettPackardEnterprise的软件资产将与MicroFocus合并，以创建一个***的公司，惠普企业股东将保留多数所有权。微焦点首席执行官凯文·洛西莫尔（KevinLoosemore）称这项交易“完全符合我们既定的收购策略，并将***放在成熟基础设施产品的有效管理上”，并表示MicroFocus旨在“为成熟资产带来核心盈利空间-约80百分之一-从今天的百分之二十一微科技在三年内现有的46％的水平。“[4]技术咨询weiyuanhuiFortify的技术咨询weiyuanhui由***iRubin，BillJoy，D***idA.Wagner，FredSchneider，GaryMcGraw，GregMorrisett，LiGong，MarcusRanum，MattBishop，WilliamPugh和JohnViega组成。安全研究除了Fortify的分析软件的安全规则外，Fortify还创建了一个维护J***aOpenReview项目[5]和Vulncat安全漏洞分类的安全研究小组。[6]小组成员写了这本书，安全编码与静态分析，并发表了研究，包括J***aScript劫持，[7]攻击构建：交叉构建注入，[8]观察你写的：通过观察程序输出来防止跨站点脚本[9]和动态趋势传播：找不到攻击的脆弱性[10]Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。lt;谓词gt;lt;！[CDATA[函数f：f.name是“verify”和f.pers包含[Class：name==“.nameVerifier”]和f.parameters[0].是“ng.String”和f.parameters[1].是“.ssl.SSLSession”和f.是“boolean”，f包含[ReturnStatementr：r.nstantValuematches“true”]]]gt;lt;/谓词gt;过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。lt;谓词gt;lt;！[CDATA[函数f：f.name是“checkServerTrusted”和f.parameters[0].是“curity.cert.X509Certificate”和f.parameters[1].是“ng.String”和f.是“void”而不是f包含[ThrowStatementt：t.expression.pers包含[Class：name==“（curity.cert.CertificateException|curity.cert.CertificateException）”]]]gt;lt;/谓词gt;缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用***HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用***HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用***API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https:///GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则FortifySCA扫描分析功能要求·跟踪可yi的输入数据，直到该数据被不安全使用的全过程中，分析数据使用中的安全隐患。·发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，识别出使用特定函数或者过程带来的软件安全的隐患。·jing确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐患。·自动分析软件的配置和代码的关系，发现在软件配置和代码之间，由于配置丢失或者不一致而带来的安全隐患。FortifySCA软件-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司（）在行业专用软件这一领域倾注了无限的热忱和热情，华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场，衷心希望能与社会各界合作，共创成功，共创辉煌。相关业务欢迎垂询，联系人：华克斯。)