Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書(shū)?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服務(wù)的同時(shí)，我們經(jīng)常開(kāi)發(fā)一系列定制安全檢查和靜態(tài)分析規(guī)則，以檢測(cè)我們?cè)谠创a安全評(píng)估中發(fā)現(xiàn)的不安全的編碼模式。這些模式可以代表特定于正在評(píng)估的應(yīng)用程序，其架構(gòu)/設(shè)計(jì)，使用的組件或甚至開(kāi)發(fā)團(tuán)隊(duì)本身的常見(jiàn)安全漏洞或的安全弱點(diǎn)。這些自定義規(guī)則經(jīng)常被開(kāi)發(fā)以針對(duì)特定語(yǔ)言，并且可以根據(jù)客戶端使用的或者舒服的方式在特定的靜態(tài)分析工具中實(shí)現(xiàn) - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審核不安全代碼的Scala

為Spring MVC構(gòu)建Fortify自定義規(guī)則

用PMD保護(hù)發(fā)展

在本博客文章中，我將專注于開(kāi)發(fā)Fortify SCA的PoC規(guī)則，以針對(duì)基于Java的應(yīng)用程序，然而，相同的概念可以輕松擴(kuò)展到其他工具和/或開(kāi)發(fā)語(yǔ)言。

影響Duo Mobile的近漏洞證實(shí)了Georgiev等人的分析，他們展示了各種非瀏覽器軟件，黑龍江fortify采購(gòu)，庫(kù)和中間件中SSL / TLS證書(shū)驗(yàn)證不正確的嚴(yán)重安全漏洞。

具體來(lái)說(shuō)，源代碼審計(jì)工具fortify采購(gòu)，在這篇文章中，我們專注于如何識(shí)別Java中SSL / TLS API的不安全使用，這可能導(dǎo)致中間人或欺騙性攻擊，從而允許惡意主機(jī)模擬受信任的攻擊。將HP Fortify SCA集成到SDLC中可以使應(yīng)用程序定期有效地掃描漏洞。我們發(fā)現(xiàn)，由于SSL API濫用而導(dǎo)致的問(wèn)題并未通過(guò)開(kāi)箱即用的規(guī)則集確定，因此我們?yōu)镕ortify開(kāi)發(fā)了一個(gè)全mian的12個(gè)自定義規(guī)則包。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

語(yǔ)義本分析儀在程序級(jí)別檢測(cè)功能和API的潛在危險(xiǎn)用途?；旧鲜且粋€(gè)聰明的GREP。

配置此分析器在應(yīng)用程序的部署配置文件中搜索錯(cuò)誤，弱點(diǎn)和策略違規(guī)。

緩沖區(qū)此分析儀檢測(cè)緩沖區(qū)溢出漏洞，涉及寫(xiě)入或讀取比緩沖區(qū)容納的更多數(shù)據(jù)。

分享這個(gè)

于十二月二十四日十二時(shí)十七分

感謝你非常有用的信息。你知道這些分析儀在內(nèi)部工作嗎？如果您提供一些細(xì)節(jié)，我將非常感謝。 - 新手十二月27'12 at 4:22

1

有一個(gè)很好的，但干燥的書(shū)的主題：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

現(xiàn)在還有一個(gè)內(nèi)容分析器，盡管這與配置分析器類似，除非在非配置文件中搜索問(wèn)題（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一個(gè)非常好的，源代碼掃描工具fortify采購(gòu)，但在完全不同的抽象層次，源代碼檢測(cè)工具fortify采購(gòu)，我可以用另一種方式回答這個(gè)問(wèn)題：

您的源代碼被轉(zhuǎn)換為中間模型，該模型針對(duì)SCA的分析進(jìn)行了優(yōu)化。

某些類型的代碼需要多個(gè)階段的翻譯。例如，需要先將C＃文件編譯成一個(gè)debug.DLL或.EXE文件，然后將該.NET二進(jìn)制文件通過(guò).NET SDK實(shí)用程序ildasm.exe反匯編成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相應(yīng)的Fortify SCA翻譯器一次翻譯成該語(yǔ)言。

SCA將模型加載到內(nèi)存中并加載分析器。每個(gè)分析器以協(xié)調(diào)的方式加載規(guī)則并將這些角色應(yīng)用于程序模型中的功能。

匹配被寫(xiě)入FPR文件，漏洞匹配信息，安全建議，源代碼，源交叉引用和代碼導(dǎo)航信息，用戶過(guò)濾規(guī)范，任何自定義規(guī)則和數(shù)字簽名都?jí)嚎s到包中。

HP Fortify

Static

Code Analyzer

(SCA)

 靜態(tài)分析–

發(fā)現(xiàn)和修復(fù)源代碼的安全隱患

   用戶場(chǎng)景：

     用戶擁有開(kāi)發(fā)團(tuán)隊(duì)，擁有源代碼

優(yōu)勢(shì):

跨語(yǔ)言

跨操作平臺(tái)

跨IDE環(huán)境

掃描速度快

詳細(xì)的中文報(bào)告

發(fā)現(xiàn)安全漏洞的準(zhǔn)確性和全mian性

擁有業(yè)界龐大權(quán)wei的代碼漏洞規(guī)則庫(kù)

擁有da的市場(chǎng)份額和gao的用hu口碑

支持的語(yǔ)音：

VB.Net

C#.Net

ASP

VBScript

VB6

Java(Android)

JSP

JavaScript

HTML

黑龍江fortify采購(gòu)-華克斯(推薦商家)由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是一家從事“Loadrunner,Fortify,源代碼審計(jì),源代碼掃描”的公司。自成立以來(lái)，我們堅(jiān)持以“誠(chéng)信為本，穩(wěn)健經(jīng)營(yíng)”的方針，勇于參與市場(chǎng)的良性競(jìng)爭(zhēng)，使“Loadrunner,Fortify,Webinspect”品牌擁有良好口碑。我們堅(jiān)持“服務(wù)至上，用戶至上”的原則，使華克斯在行業(yè)軟件中贏得了客戶的信任，樹(shù)立了良好的企業(yè)形象。 特別說(shuō)明：本信息的圖片和資料僅供參考，歡迎聯(lián)系我們索取準(zhǔn)確的資料，謝謝！