Fortify软件
强化静态代码分析器
使软件更快地生产
企业需要创新的方法来加速SDLC,。 Fortify SCA提供增量扫描,可提供更快的扫描时间和结果,提高生产力,从而实现更多扫描,并通过更快地发布应用程序来保持竞争力。
学到更多
软件安全错误分类
为了帮助开发人员了解导致安全漏洞的编码错误的常见类型,Fortify的研究团队创建了“七恶***国”,它将***的漏洞统一起来,将其映射到行业标准。
在一个集中管理存储库中查看应用程序安全程序
Fortify软件安全中心提供整个应用程序安全程序的可见性,以帮助解决整个软件组合中的漏洞。它通过仪表板和报告测量效率,准确性和价值,利用SDLC上的应用程序安全数据的强大功能。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
我们的贡献:强制性的SCA规则
为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回'true'。
lt;谓词gt;
lt;![CDATA [
函数f:f.name是“verify”和f.enclosingClass.supers
包含[Class:name ==“j***ax.net.ssl.HostnameVerifier”]和
f.parameters [0] .type.name是“j***a.lang.String”和
f.parameters [1] .type.name是“j***ax.net.ssl.SSLSession”和
f.returnType.name是“boolean”,f包含
[ReturnStatement r:r.expression.c***tantValue matches“true”]
]]gt;
lt;/谓词gt;
过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
lt;谓词gt;
lt;![CDATA [
函数f:f.name是“checkServerTrusted”和
f.parameters [0] .type.name是“j***a.security.cert.X509Certificate”
和f.parameters [1] .type.name是“j***a.lang.String”和
f.returnType.name是“void”而不是f包含[ThrowStatement t:
t.expression.type.definition.supers包含[Class:name ==
“(j***ax.security.cert.CertificateException | j***a.security.cert.CertificateException)”]
]]gt;
lt;/谓词gt;
缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。
经常被误用:自定义HostnameVerifier:当代码使用***HttpsURLConnection API并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义SSLSocketFactory:当代码使用***HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。
我们决定启动“经常被滥用”的规则,因为应用程序正在使用***API,并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。
https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则
Fortify软件
强化静态代码分析器
使软件更快地生产
如何解决Fortify报告的扫描问题
1124,1127由于[严重]低内存,扫描进度缓慢
这个错误不会影响结果的准确性,但是要加快扫描速度,请参阅:如何增加Fortify的内存进行翻译
1137功能。 。 。对于详尽的数据流分析来说太复杂了,进一步分析将被跳过(访问)如何解决“功能...太复杂”错误
1138功能。 。 。对于详尽的数据流分析来说太复杂了,进一步分析将被跳过(时间)如何解决“功能...太复杂”的错误
1212无法在lt;code locationgt;中解析函数lt;methodgt;
这是Fortify 17.10的一个已知问题。有关详细信息,请参阅以下文章:
Fortify SCA版本17.10的J***a方法中的函数解析错误
1214为类找到多个定***决多个类定义。考虑将代码扫描到多个FPR文件(如果适用)。
1215找不到Web应用程序的部署描述符(web.xml)如何解决Fortify无法找到web.xml或WEB-INF目录的警告
1219无法在给定的搜索路径和Microsoft .NET Framework库中找到类[...]如何解决“无法找到类...”
1225无法找到Microsoft .NET反汇编程序工具(ilda***)如何解决“无法找到Microsoft .NET反汇编程序工具(ilda***)...”
1237以下对j***a类的引用无法解析[...]修改提供给Fortify的类路径以包含包含列出的类的jar文件。
1343功能。 。 。对于控制流分析来说太复杂了,将被跳过。 (时间)如何解决“功能...太复杂”错误
1425选项“-source-base-dir”(或属性“com.fortify.sca.SourceBaseDir”)应在处理cfml文件时设置将-source-base-dir设置为推荐
1501类路径条目。 。 。不存在根据需要修改提供给Fortify的类路径,以提供正确的类路径
6001没有文件被排除,因为-exclude选项指ding的文件模式[...]与任何文件不匹配此错误不会影响结果的准确性,Fortify SCA咨询,但这可能意味着某些扫描的文件被意图排除。
10002无法解析T-SQL [...]如何在Windows上扫描PL / SQL
12003假设J***a源级别为1.8,因为没有指ding。指ding在GUI中或使用-source或-jdk命令行选项使用的J***a版本。
12004,12005 的PHP前端无法解析以下内容如何解决“PHP前端无法解析以下包含...”
12004,12006 ASP / VBScript前端无法解析以下内容/您可能需要定义一些虚拟根。如何解决“ASP / VBScript前端无法解决以下内容...”
12004,12010 Acti***cript前端无法解析以下导入如何解决“Acti***cript前端无法解析以下导入...”
12004红宝石前端无法解决以下要求如何解决“红宝石前端无法解决以下要求...”
12007您可能需要向SCA的-python-path参数添加一些参数请尝试根据Fortify的建议配置-python-path参数。请参阅Fortify文档中的SCA用户指南第12章:翻译Python代码
12014在.Net翻译器执行期间发生翻译错误这是Fortify 16.20扫描C#6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息:Fortify 16.20“C#6 / VB 14”中的“转换器执行失败”错误
12019以下对j***a函数的引用无法解析有关此错误,请参阅以下博客文章
12020未找到以下类,但提供了哪个jar文件可能包含该类的建议。修改提供给Fortify的类路径以包含包含列出的类的jar文件。
12022课程[。 。 。]在类路径中找不到,但是它在HPE Fortify提供的jar中找到。 。 。如果未设置,请显式设置J***a版本,并修改提供给Fortify的类路径以包含指示的jar文件。如果Fortify拉入了正确的jar文件版本,那么这可以被认为不是一个问题,但是必须包含一个自述文件,解释它们是正确的版本。
13556找不到实现该类型的lambda的方法。 。 。有关此错误,请参阅以下博客文章。
版权所有©2025 产品网
