FortifySCA支持源代码安全风险评估的语言
支持的语言业界***多,跨层、跨语言地分析代码的漏洞的产生:C, C , .Net,
J***a, JSP,PL/SQL, T-SQL, XML, CFML, J***aScript, PHP, ASP, VB, VBScript;
支持***多的平台,基本上所有平台都支持:Windows, Solaris, Red Hat Linux,
Mac OS X, HP-UX, IBM AIX;
IDE支持 VS, Eclipse, RAD, WSAD。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
日期:2017年6月8日上午7:00
在提供GDS安全SDLC服务的同时,我们经常开发一系列定制安全检查和静态分析规则,以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序,其架构/设计,使用的组件或甚至开发团队本身的常见安全漏洞或独特的安全弱点。这些自定义规则经常被开发以针对特定语言,并且可以根据客户端使用的或者***舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs,PMD,Visual Studio以及Fortify SCA。
使用Findbugs审核不安全代码的Scala
为Spring MVC构建Fortify自定义规则
用PMD保护发展
在本博客文章中,我将专注于开发Fortify SCA的PoC规则,以针对基于J***a的应用程序,然而,相同的概念可以轻松扩展到其他工具和/或开发语言。
影响Duo Mobile的***近漏洞证实了Georgiev等人的分析,Fortify SCA代理商,他们展示了各种非浏览器软件,库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。
具体来说,在这篇文章中,我们专注于如何识别J***a中SSL / TLS API的不安全使用,这可能导致中间人或欺骗性攻击,从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现,由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定,因此我们为Fortify开发了一个全mian的12个自定义规则包。
HPFortifySCA简介
1.软件基本功能
·
安全漏洞检测需拥有目前业界***quan威的代码漏洞规则库,能够检测出600种以上的问题
·
支持多种常见编程语言,包括ASP.NET,C,C ,C#,Classic
ASP, Flex/Acti***cript,J***a,J***aScript/AJAX,JSP,Objective
C,PL/SQL,PHP,T-SQL,VB.NET,VBScript,VB6,XML/HTML,Python,
ColdFusion, COBOL, ABAP等语言。
·
支持多种IDE,较好地和现有成熟的软件开发环境集成。如:Visual Studio 2003、2005、2008、2010、2012,Eclipse 2.X、 3.X,WSAD,RAD工具等。
·
支持多种操作系统,即可以安装在所有主流操作系统中,如:Windows、 Linux 、AIX、HP-Unix、 Solaris、Mac OS等。
·
工具生成的测试结果报告文档包含详尽的中文漏洞说明和修复指导建议。
·
工具的技术达到国际ling先水平和***者地位,有国际/国内***机构的奖励和证书或对WASC/OWASP***有重要贡献。在******ju***的IT研究咨询机构Gartner的***xin报告中,应该位于魔力象限的di一象限业界***者地位。
版权所有©2025 产品网
