Fortify sca——软件安全的
领xian的市场份额
全世界da的10大银行的9家、大型IT基建供应商、大型独立软体公司
支持市场上流xing、多样化的编程語言
领xian解決方案
获奖产品支持整个开发周期
超过150项专利
庞大的安全编码规则包
的安装部署
与Fortune100
企
源代码检测工具fortify代理商
Fortify sca
——软件安全的
领xian的市场份额
全世界da的10大银行的9家、大型IT基建供应商、大型独立软体公司
支持市场上流xing、多样化的编程語言
领xian解決方案
获奖产品支持整个开发周期
超过150项专利
庞大的安全编码规则包
的安装部署
与Fortune100
企业及大型 ISVs
开发出來的jia做法
由世界顶jian安全鉴定
软件安全问题的产生的根源:
如今的黑ke攻击主要利用软件本身的安全漏洞,这些漏洞是由不良的软件架构和不安全的编码产生的。
HP Fortify
Static
Code Analyzer
(SCA)
静态分析–
发现和修复源代码的安全隐患
用户场景:
用户拥有开发团队,拥有源代码
优势:
跨语言
跨操作平台
跨IDE环境
扫描速度快
详细的中文报告
发现安全漏洞的准确性和全mian性
拥有业界庞大权wei的代码漏洞规则库
拥有da的市场份额和gao的用hu口碑
支持的语音:
ASP.Net
VB.Net
C#.Net
ASP
VB
VB6
Java(Android)
JSP
Java
HTML
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书
强化针对JSSE API的SCA自定义规则滥用
我们的贡献:强制性的SCA规则
为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回'true'。
<谓词>
<![CDATA [
函数f:f.name是“verify”和f.enclosingClass.supers
包含[Class:name ==“javax.net.ssl.HostnameVerifier”]和
f.parameters [0] .type.name是“java.lang.String”和
f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和
f.returnType.name是“boolean”,f包含
[ReturnStatement r:r.expression.constantValue matches“true”]
]]>
过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
函数f:f.name是“checkServerTrusted”和
f.parameters [0] .type.name是“java.security.cert.X509Certificate”
和f.parameters [1] .type.name是“java.lang.String”和
f.returnType.name是“void”而不是f包含[ThrowStatement t:
t.expression.type.definition.supers包含[Class:name ==
“(javax.security.cert.CertificateException | java.security.cert.CertificateException)”]
缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。
经常被误用:自定义HostnameVerifier:当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义SSLSocketFactory:当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。
我们决定启动“经常被滥用”的规则,因为应用程序正在使用API,并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。
http://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则
(作者: 来源:)
