河南fortify sca-华克斯

Fortify sca——软件安全的

领xian的市场份额

全世界da的银行的9家、大型IT基建供应商、大型独立软体公司

支持市场上流xing、样化的编程語言

领xian解決方案

获奖产品支持整个开发周期

超过150项

庞大的安全编码规则包

的安装部署

与Fortune100

企业及大型 ISVs

开发出來的jia做法

由世界顶jian安全鉴定

软件安全问题的产生的根源：

           如今的黑ke攻击主要利用软件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，源代码检测工具fortify sca，identityAlg，源代码审计工具fortify sca，isClient，

                   getRequestedServerNames（发动机））;

 }

 ...

}

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭

FortifySCA庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

        C，

C++， .Net， Java， JSP，PL/SQL， T-SQL， XML，

CFML

        JavaScript， PHP， ASP， VB， VBScript

精que地定位漏洞的产生的全路径

支持不同的软件开发平台

      Platform:

Windows， Solaris，河南fortify sca， Red Hat Linux，

                   Mac OS X， HP-UX， IBM

AIX

      IDEs       :

Visual Studio， Eclipse， RAD， WSAD

Source Code Analysis Engine（源代码分析引擎）

            数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题                    

           语义分析引擎-----分析程序中不安全的函数，源代码审计工具fortify sca，方法的使用的安全问题

           结构分析引擎-----分析程序上下文环境，结构中的安全问题                        

           控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

           配置分析引擎 -----分析项目配置文件中的敏感信息和配置缺失的安全问题                    

           特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题