华东fortify-苏州华克斯

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，源代码审计工具fortify服务商，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，华东fortify，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，源代码审计工具fortify规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

–  HPE Fortify SCA

分析的流程

运用三步走的方法来执行源代码安全风险评估：

u  确定源代码安全风险评估的审查目标

u  使用Fortify执行初步扫描并分析安全问题结果

u  审查应用程序的架构所特有的代码安全问题

在第yi步中，我们使用威胁建模（如果可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞的风险表现形式。在初步检查过程中，fortify服务商，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始扫描使我们能够优先考虑风险gao的区域。

 在审查主要代码过程中，我们的源代码安全分析人员对代码进行审查来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨站点脚本，SQL注入等。终审查用于调查本应用程序架构所特有的问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身份验证或授权程序等。

FortifySCA优点

Secure Coding Rulepacks ?（安全编码规则包）

Audit Workbench（审查工作台）

Custom Rule Editor & Custom

Rule Wizard(规则自定义编辑器和向导)

Developer Desktop (IDE 插件）

其主要特点：

        1.集中管理

        2.化分优先级

        3.标记趋势

        4.

协同工作平台

        5.产生多种报表