Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
日期:2017年6月8日上午7:00
在提供GDS安全SDLC服务的同时,我们经常开发一系列定制安全检查和静态分析规则,以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序,其架构/设计,使用的组件或甚至开发团队本身的常见安全漏洞或独特的安全弱点。这些自定义规则经常被开发以针对特定语言,并且可以根据客户端使用的或者***舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs,PMD,Visual Studio以及Fortify SCA。
使用Findbugs审核不安全代码的Scala
为Spring MVC构建Fortify自定义规则
用PMD保护发展
在本博客文章中,我将专注于开发Fortify SCA的PoC规则,以针对基于J***a的应用程序,然而,相同的概念可以轻松扩展到其他工具和/或开发语言。
影响Duo Mobile的***近漏洞证实了Georgiev等人的分析,Fortify SCA服务,他们展示了各种非浏览器软件,库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。
具体来说,在这篇文章中,我们专注于如何识别J***a中SSL / TLS API的不安全使用,这可能导致中间人或欺骗性攻击,从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现,由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定,因此我们为Fortify开发了一个全mian的12个自定义规则包。
Fortify SCA 扫描的结果如下:
Fortify SCA 的结果文件为.FPR 文件,包括详细的漏洞信息:漏
洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明 及修复建议等。如下:
分级报告漏洞的信息 项目的源代码 漏洞推荐修复的方法
漏洞产生的全路
径的跟踪信息
漏洞的详细说明
图2:Foritfy AWB 查看结果
3.Fortify SCA 支持的平台:
4.Fortify
SCA 支持的编程语言:
5.Fortify SCA plug-In
支持的有:
6.Fortify SCA 目前能够扫描的安全漏洞种类有:
目前Fortify SCA可以扫描出约 300
种漏洞,Fortify将所有安全
漏洞整理分类,根据开发语言分项目,再细分为 8 个大类,约
300
个 子类:
强化SCA与强化***之间的差异
WebInspect是与******匹配的动态代码分析工具。不幸的是,他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止,我看到的大多数共同体解决方案都是在内部开发的。
实际上WebInspect(使用WebInspect Enterprise集成到***中,这个控制台连接到***,有效地创建了一个新版本的AMP)和运行在J***a或.NET应用程序上的Runtime产品(以前称为RTA),并且可以在运行时执行各种各样的事情(记录/停止攻击等) -
1
@Keshi现在他们为Jenkins提供插件,并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分
请说明,同样的analyzser.exe(也称为SCA)由Audit Workbench和各种SCA插件(m***en,Jenkins,eclipse,Visual Studio,IntelliJ,XCode等)调用。 ***不运行SCA。 ***管理从SCA输出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07
版权所有©2025 产品网
