Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

語(yǔ)義本分析儀在程序級(jí)別檢測(cè)功能和API的潛在危險(xiǎn)用途?；旧鲜且粋€(gè)聰明的GREP。

配置此分析器在應(yīng)用程序的部署配置文件中搜索錯(cuò)誤，弱點(diǎn)和策略違規(guī)。

緩沖區(qū)此分析儀檢測(cè)緩沖區(qū)溢出漏洞，涉及寫入或讀取比緩沖區(qū)容納的更多數(shù)據(jù)。

分享這個(gè)

于十二月二十四日十二時(shí)十七分

感謝你非常有用的信息。你知道這些分析儀在內(nèi)部工作嗎？如果您提供一些細(xì)節(jié)，我將非常感謝。 - 新手十二月27'12 at 4:22

1

有一個(gè)很好的，但干燥的書的主題：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

現(xiàn)在還有一個(gè)內(nèi)容分析器，盡管這與配置分析器類似，源代碼掃描工具fortify工具，除非在非配置文件中搜索問題（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一個(gè)非常好的，但在完全不同的抽象層次，我可以用另一種方式回答這個(gè)問題：

您的源代碼被轉(zhuǎn)換為中間模型，該模型針對(duì)SCA的分析進(jìn)行了優(yōu)化。

某些類型的代碼需要多個(gè)階段的翻譯。例如，需要先將C＃文件編譯成一個(gè)debug.DLL或.EXE文件，然后將該.NET二進(jìn)制文件通過(guò).NET SDK實(shí)用程序ildasm.exe反匯編成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相應(yīng)的Fortify SCA翻譯器一次翻譯成該語(yǔ)言。

SCA將模型加載到內(nèi)存中并加載分析器。每個(gè)分析器以協(xié)調(diào)的方式加載規(guī)則并將這些角色應(yīng)用于程序模型中的功能。

匹配被寫入FPR文件，華南fortify工具，漏洞匹配信息，安全建議，源代碼，源交叉引用和代碼導(dǎo)航信息，用戶過(guò)濾規(guī)范，任何自定義規(guī)則和數(shù)字簽名都?jí)嚎s到包中。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

我們的貢獻(xiàn)：強(qiáng)制性的SCA規(guī)則

為了檢測(cè)上述不安全的用法，我們?cè)贖P Fortify SCA的12個(gè)自定義規(guī)則中對(duì)以下檢查進(jìn)行了編碼。這些規(guī)則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因?yàn)樗鼈兪呛窨蛻舳撕虯ndroid應(yīng)用程序的廣泛使用的庫(kù)。

超許可主機(jī)名驗(yàn)證器：當(dāng)代碼聲明一個(gè)HostnameVerifier時(shí)，該規(guī)則被觸發(fā)，并且它總是返回'true'。

函數(shù)f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過(guò)度允許的信任管理器：當(dāng)代碼聲明一個(gè)TrustManager并且它不會(huì)拋出一個(gè)CertificateException時(shí)觸發(fā)該規(guī)則。拋出異常是API管理意外狀況的方式。

函數(shù)f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機(jī)名驗(yàn)證：當(dāng)代碼使用低級(jí)SSLSocket API并且未設(shè)置HostnameVerifier時(shí)，將觸發(fā)該規(guī)則。

經(jīng)常被誤用：自定義HostnameVerifier：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義主機(jī)名驗(yàn)證器時(shí)，該規(guī)則被觸發(fā)。

經(jīng)常被誤用：自定義SSLSocketFactory：當(dāng)代碼使用HttpsURLConnection API并且它設(shè)置自定義SSLSocketFactory時(shí)，該規(guī)則被觸發(fā)。

我們決定啟動(dòng)“經(jīng)常被濫用”的規(guī)則，因?yàn)閼?yīng)用程序正在使用API，并且應(yīng)該手動(dòng)審查這些方法的重寫。

規(guī)則包可在Github上獲得。這些檢查應(yīng)始終在源代碼分析期間執(zhí)行，以確保代碼不會(huì)引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評(píng)論關(guān)閉|分享文章分享文章

標(biāo)簽TagCustom規(guī)則，CategoryApplication安全性中的TagSDL，CategoryCustom規(guī)則

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

Fortify SCA 5.0設(shè)置了一個(gè)全mian的新酒吧

Fortify SCA 5.0通過(guò)分析360技術(shù)增強(qiáng)了行業(yè)領(lǐng)xian的分析儀功能，可以處理安全開發(fā)面臨的da問題，以及新的不斷發(fā)展的攻擊。通過(guò)分析360，F(xiàn)ortify SCA減少了錯(cuò)誤的否定，以確保沒有錯(cuò)過(guò)，同時(shí)da限度地減少誤報(bào)，所以開發(fā)側(cè)重于關(guān)鍵的代碼問題。使用Fortify SCA 5.0，已經(jīng)添加或增強(qiáng)了分析功能，以提高精度，源代碼掃描工具fortify工具，包括：

- 多維色彩傳播 - 此功能有助于

找到遠(yuǎn)程可利用的錯(cuò)誤，這對(duì)于查找特別有用

隱私管理故障和其他與PCI有關(guān)的錯(cuò)誤。

- 基于約束的漏洞排名 - 提取一組布爾值

來(lái)自代碼的約束方程，并使用約束求解器進(jìn)行排序

錯(cuò)誤的編碼實(shí)踐可能被利用的可能性的。

- 過(guò)程間數(shù)據(jù)流分析 - 使用有限狀態(tài)自動(dòng)機(jī)

通過(guò)代碼模擬可能的執(zhí)行路徑。

- 關(guān)聯(lián)故障診斷 - 允許用戶消除整個(gè)

通過(guò)將跟隨相同的結(jié)果相關(guān)聯(lián)的假陽(yáng)性類

代碼模式。

Fortify SCA 5.0增加了對(duì)四種新編程語(yǔ)言的支持

- 經(jīng)典ASP - 今天，成千上萬(wàn)的遺留應(yīng)用程序?qū)懭?/p>

經(jīng)典的ASP需要針對(duì)普通的，的

漏洞，如SQL注入和跨站點(diǎn)腳本。

- COBOL - 幾十年前發(fā)明 - 在應(yīng)用程序安全性之前很久

COBOL的重要性隨著企業(yè)曝光而重新浮出水面

系統(tǒng)通過(guò)面向服務(wù)架構(gòu)（SOA）的舉措。

- JavaScript - 今天，JavaScript可能是增長(zhǎng)快的編程

語(yǔ)言 - 其安全問題已經(jīng)有很好的記錄 - 包括

Fortify發(fā)現(xiàn)JavaScript劫持。

- PHP - 近的揚(yáng)基集團(tuán)報(bào)告“Web 2.0安全列車殘骸”

（Andrew Jaquith，2017年10月），引用“幾個(gè)流行應(yīng)用程序”

基于PHP框架，如phpBB，具有驚人的安全性

跟蹤記錄，“補(bǔ)充說(shuō)，”PHP開發(fā)人員往往是“scripters”

沒有正式的安全培訓(xùn)?！皬?qiáng)化SCA 5.0給了大的和

越來(lái)越多的PHP開發(fā)人員自動(dòng)清理系統(tǒng)代碼。

要了解有關(guān)Fortify SCA 5.0的更多信息，請(qǐng)于11月13日上午11點(diǎn)至12點(diǎn)舉行Fortify網(wǎng)絡(luò)研討會(huì)“強(qiáng)化SCA 5.0：無(wú)邊界應(yīng)用安全”。 Pacific，華克斯。

關(guān)于Fortify Software，Inc.

Fortify?軟件產(chǎn)品可以保護(hù)企業(yè)免受關(guān)鍵業(yè)務(wù)軟件應(yīng)用程序安全漏洞所帶來(lái)的威脅。其軟件安全產(chǎn)品 - Fortify SCA，F(xiàn)ortify Manager，F(xiàn)ortify Tracer和Fortify Defender - 通過(guò)自動(dòng)化開發(fā)和部署安全應(yīng)用程序的關(guān)鍵流程降低成本和安全風(fēng)險(xiǎn)。 Fortify Software的客戶包括機(jī)構(gòu)和財(cái)富500強(qiáng)企業(yè)，如金融服務(wù)，醫(yī)liao保健，電子商務(wù)，源代碼檢測(cè)工具fortify工具，電信，出版，保險(xiǎn)，系統(tǒng)集成和信息管理。該公司得到世界ji軟件安全和合作伙伴的支持。更多信息，

源代碼檢測(cè)工具fortify工具-華克斯由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司堅(jiān)持“以人為本”的企業(yè)理念，擁有一支高素質(zhì)的員工隊(duì)伍，力求提供更好的產(chǎn)品和服務(wù)回饋社會(huì)，并歡迎廣大新老客戶光臨惠顧，真誠(chéng)合作、共創(chuàng)美好未來(lái)。華克斯——您可信賴的朋友，公司地址：蘇州工業(yè)園區(qū)新平街388號(hào)，聯(lián)系人：華克斯。