[供应]华克斯-辽宁fortify版本

Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书
强化针对JSSE API的SCA自定义规则滥用
我们的贡献：强制性的SCA规则
为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，源代码扫描工具fortify版本，并且它总是返回'true'。
<谓词>
<！[CDATA [
函数f：f.name是“verify”和f.enclosingClass.supers
包含[Class：name ==“javax.net.ssl.HostnameVerifier”]和
f.parameters [0] .type.name是“java.lang.String”和
f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和
f.returnType.name是“boolean”，f包含
[ReturnStatement r：r.expression.ctantValue matches“true”]
]]>
过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
<谓词>
<！[CDATA [
函数f：f.name是“checkServerTrusted”和
f.parameters [0] .type.name是“java.security.cert.X509Certificate”
和f.parameters [1] .type.name是“java.lang.String”和
f.returnType.name是“void”而不是f包含[ThrowStatement t：
t.expression.type.definition.supers包含[Class：name ==
“（javax.security.cert.CertificateException | java.security.cert.CertificateException）”]
]]>
缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。
经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。
经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。
我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。
https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则，CategoryApplication安全性中的TagSDL，源代码扫描工具fortify版本，CategoryCustom规则










 
Fortify软件
强化静态代码分析器
使软件更快地生产
企业需要的方法来加速SDLC，。 Fortify SCA提供增量扫描，可提供更快的扫描时间和结果，提高生产力，从而实现更多扫描，并通过更快地发布应用程序来保持竞争力。
学到更多
软件安全错误分类
为了帮助开发人员了解导致安全漏洞的编码错误的常见类型，辽宁fortify版本，Fortify的研究团队创建了“七恶国”，它将组织的漏洞统一起来，将其映射到行业标准。

在一个集中管理存储库中查看应用程序安全程序
Fortify软件安全中心提供整个应用程序安全程序的可见性，以帮助解决整个软件组合中的漏洞。它通过仪表板和报告测量效率，准确性和价值，利用SDLC上的应用程序安全数据的强大功能。


FortifySCA介绍 
支持对测试结果进行分类或划分，并分发给不同的人进行确认和修复。
·    
对工具和安全代码规则可以进行集中配置和管理，使分散在不同地点的测试机统一更新，提高了效率，保证了版本的一致性。
·    
支持将测试结果在企部进行发布，使开发人员，源代码检测工具fortify版本，测试人员，安全人员和管理人员可以通过WEB浏览器进行查看和审计。实现多个部门之间的协同工作，加强对问题的反应，提高管理能力，提高工作效率。
·    
能够按用户和角色的不同来进行权限的划分，方便企各个团队的交流和沟通，同时保证了测试结果的保密性。
 
 华克斯-辽宁fortify版本由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗，信誉可靠，在江苏 苏州 的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善理念和您携手步入，共创美好未来！
 
产品：华克斯
供货总量：不限
产品价格：议定
包装规格：不限
物流说明：货运及物流
交货说明：按订单