源代码检测工具fortify规则库-苏州华克斯信息

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，fortify规则库，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，源代码审计工具fortify规则库，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

Fortify sca——软件安全的

领xian的市场份额

全世界da的银行的9家、大型IT基建供应商、大型独立软体公司

支持市场上流xing、样化的编程語言

领xian解決方案

获奖产品支持整个开发周期

超过150项

庞大的安全编码规则包

的安装部署

与Fortune100

企业及大型 ISVs

开发出來的jia做法

由世界顶jian安全鉴定

软件安全问题的产生的根源：

           如今的黑ke攻击主要利用软件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。

Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

HP Fortify SCA通过可用的全mian的安全编码规则提供根本原因的漏洞检测，并支持广泛的语言，平台，构建环境（集成开发环境或IDE）和软件组件API。

进行静态分析，源代码检测工具fortify规则库，以确定源代码中的安全漏洞的根本原因

检测超过480种类型的软件安全漏洞，涵盖20种开发语言 - 业界。

根据风险严重程度排序优先级结果，源代码检测工具fortify规则库，并指导如何修复代码行详细信息中的漏洞

确保符合应用程序安全性要求

硬件要求

HP Fortify Software建议您在具有至少1 GB RAM的处理器上安装HP Fortify静态代码分析器（SCA）。

平台和架构

HP Fortify SCA支持以下平台和架构：

操作系统架构版本

Linux x86：32位和64位Fedora Core 7

红帽ES 4，ES5

Novell SUSE 10

Oracle EL 5.2

Windows?x86：32位和64位7 SP1

2017年

win10

Vista业务

Vista Ultimate

Windows 7的

Windows?x86：32位2000

Mac OS x86 10.5，10.6

Oracle Solaris SPARC 8，9，10

86 10

HP-UX PA-RISC 11.11

AIX 5.2 PPC

FreeBSD x86：32位6.3，7.0