Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

如何解決Fortify報(bào)告的掃描問(wèn)題

已經(jīng)注意到以下錯(cuò)誤消息，但是軟件保障計(jì)劃辦公室還沒(méi)有關(guān)于如何解決這些問(wèn)題的指導(dǎo)。建議嘗試使用以下步驟解決這些問(wèn)題：

生成日志文件并查看它以獲取有關(guān)該問(wèn)題的更多信息

打開(kāi)支持票幫助

聯(lián)系Fortify技術(shù)支持（fortifytechsupport@）尋求幫助

如果這些步驟無(wú)法解決問(wèn)題，請(qǐng)將您與Fortify技術(shù)支持部門的通訊連同V＆V安全代碼審查資料一起提供，并在準(zhǔn)備報(bào)告時(shí)將其納入考量

請(qǐng)注意，這不是錯(cuò)誤消息的完整列表，并將更多地變得更加廣泛：

錯(cuò)誤代碼

錯(cuò)誤信息

筆記

1意外的異常：高階分析不適用

101文件。 。 。沒(méi)有找到N / A

1002，1003解析文件N / A時(shí)出現(xiàn)意外的異常

1005數(shù)據(jù)流分析期間的意外異常N / A

1009構(gòu)建調(diào)用圖N / A時(shí)出現(xiàn)意外異常

1038初始分析階段N / A中出現(xiàn)意外異常

1142在內(nèi)部存儲(chǔ)器管理期間發(fā)生意外錯(cuò)誤。掃描將繼續(xù)，但內(nèi)存可能會(huì)迅速耗盡，掃描結(jié)果可能不完整。 N / A

1202無(wú)法解析符號(hào)。 。 。 N / A

1207配置文件。 。 。無(wú)法找到網(wǎng)絡(luò)應(yīng)用程序N / A

1211無(wú)法解析類型N / A

1213無(wú)法解析字段N / A

1216無(wú)法找到導(dǎo)入（？）N / A

1227嘗試加載類路徑存檔時(shí)發(fā)生異常...文件可能已損壞或無(wú)法讀取。 N / A

1228屬性文件。 。 。以連續(xù)標(biāo)記結(jié)束。該文件可能已損壞。 N / A

1232格式錯(cuò)誤或IO異常阻止了類文件。 。 。從被讀取不適用

1236無(wú)法將以下aspx文件轉(zhuǎn)換為分析模型。 N / A

1237以下對(duì)java符號(hào)的引用無(wú)法解決。某些實(shí)例可以通過(guò)調(diào)整提供給Fortify的類路徑來(lái)解決，但是在所有情況下都不能解決此問(wèn)題。

1551，源代碼檢測(cè)工具fortify價(jià)格，1552多個(gè)ColdFusion錯(cuò)誤（無(wú)法解析組件，找不到函數(shù)，意外令牌等）可以與使用不支持的ColdFusion版本相關(guān)。

12002找不到Web應(yīng)用程序的部署描述符（web.xml）。 N / A

12004 Java前端無(wú)法解析以下包含N / A

12004 Python前端無(wú)法解析以下導(dǎo)入N / A

13509規(guī)則腳本錯(cuò)誤可能是Fortify錯(cuò)誤，但需要確認(rèn)

某些錯(cuò)誤消息可能是Fortify工具中的問(wèn)題的結(jié)果。確認(rèn)的問(wèn)題以及如何處理這些問(wèn)題，都會(huì)發(fā)布在OISSWA博客中，以及有關(guān)解析/語(yǔ)法錯(cuò)誤的技術(shù)說(shuō)明。已確認(rèn)的Fortify問(wèn)題也在本頁(yè)頂部的表格中注明。

如果您在解決警告或錯(cuò)誤消息時(shí)遇到問(wèn)題，請(qǐng)參閱我們的常見(jiàn)問(wèn)題解答以獲取有關(guān)打開(kāi)支持票證的信息。

參考

參見(jiàn)參考技術(shù)說(shuō)明

Fortify軟件

強(qiáng)化產(chǎn)品包括靜態(tài)應(yīng)用程序安全測(cè)試[11]和動(dòng)態(tài)應(yīng)用程序安全測(cè)試[12]產(chǎn)品，以及在軟件應(yīng)用程序生命周期內(nèi)支持軟件安全保障或可重復(fù)和可審計(jì)的安全行為的產(chǎn)品和服務(wù)。 13]

2011年2月，F(xiàn)ortify還宣布了Fortify OnDemand，fortify價(jià)格，一個(gè)靜態(tài)和動(dòng)態(tài)的應(yīng)用程序測(cè)試服務(wù)。[14]

靜態(tài)代碼分析工具列表

HP WebInspect

惠普新聞稿：“惠普完成Fortify軟件的收購(gòu)，加速應(yīng)用程序生命周期安全”2010年9月22日。

跳轉(zhuǎn)軟件搜索安全漏洞（英文），源代碼審計(jì)工具fortify價(jià)格，，2004年4月5日

2004年4月5日，跳起來(lái)加強(qiáng)軟件的新方法

跳起來(lái)^桑德，保羅;貝克，莉安娜B.（08-09-08）。 “惠普企業(yè)與Micro Focus軟件資產(chǎn)交易達(dá)88億美元?！甭吠干?。已取消2010-09-13

跳起來(lái)^“開(kāi)源社區(qū)的質(zhì)量和解決方案”于2016年3月4日在Wayback機(jī)上歸檔。

跳起來(lái)^“軟件安全錯(cuò)誤”歸檔2012年11月27日，在Wayback機(jī)。

跳起來(lái)“JavaScript劫持”于2015年6月23日在Wayback機(jī)上存檔。

跳起來(lái)^“通過(guò)交叉構(gòu)建注入攻擊構(gòu)建”

跳起來(lái)“看你所寫(xiě)的：通過(guò)觀察節(jié)目輸出來(lái)防止跨站腳本”

跳起來(lái)^“動(dòng)態(tài)污染傳播”

跳起來(lái)強(qiáng)化SCA

跳起來(lái)^ Fortify Runtime

惠普強(qiáng)化治理

跳高^(guò) SD Times，“惠普建立了安全即服務(wù)”2011年2月15日。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書(shū)?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過(guò)程提供身份驗(yàn)證，機(jī)mi性和完整性的***廣泛使用的網(wǎng)絡(luò)安全通信協(xié)議。為確保該方的身份，必須交換和驗(yàn)證X.509證書(shū)。一方當(dāng)事人進(jìn)行身份驗(yàn)證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個(gè)安全的散列函數(shù)，保證了數(shù)據(jù)的完整性。

當(dāng)使用SSL / TLS時(shí)，必須執(zhí)行以下兩個(gè)步驟，以確保中間沒(méi)有人篡改通道：

證書(shū)鏈信任驗(yàn)證：X.509證書(shū)指ding頒發(fā)證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu)（CA）的名稱。服務(wù)器還向客戶端發(fā)送中間CA的證書(shū)列表到根CA。客戶端驗(yàn)證每個(gè)證書(shū)的簽名，到期（以及其他檢查范圍，例如撤銷，基本約束，策略約束等），從下一級(jí)到根CA的服務(wù)器證書(shū)開(kāi)始。如果算法到達(dá)鏈中的***后一個(gè)證書(shū)，沒(méi)有違規(guī)，則驗(yàn)證成功。

主機(jī)名驗(yàn)證：建立信任鏈后，客戶端必須驗(yàn)證X.509證書(shū)的主題是否與所請(qǐng)求的服務(wù)器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進(jìn)行向后兼容。

當(dāng)安全地使用SSL / TLS API并且可能導(dǎo)致應(yīng)用程序通過(guò)受攻擊的SSL / TLS通道傳輸敏感信息時(shí)，可能會(huì)發(fā)生以下錯(cuò)誤使用情況。

證明所有證書(shū)

應(yīng)用程序?qū)崿F(xiàn)一個(gè)自定義的TrustManager，使其邏輯將信任每個(gè)呈現(xiàn)的服務(wù)器證書(shū)，而不執(zhí)行信任鏈驗(yàn)證。

TrustManager [] trustAllCerts = new TrustManager [] {

新的X509TrustManager（）{

...

public void checkServerTrusted（X509Certificate [] certs，源代碼審計(jì)工具fortify價(jià)格，

String authType）源代碼審計(jì)工具fortify價(jià)格

}

這種情況通常來(lái)自于自簽證書(shū)被廣泛使用的開(kāi)發(fā)環(huán)境。根據(jù)我們的經(jīng)驗(yàn)，我們通常會(huì)發(fā)現(xiàn)開(kāi)發(fā)人員完全禁用證書(shū)驗(yàn)證，而不是將證書(shū)加載到密鑰庫(kù)中。這導(dǎo)致這種危險(xiǎn)的編碼模式意外地進(jìn)入生產(chǎn)版本。

當(dāng)這種情況發(fā)生時(shí)，它類似于從煙霧探測(cè)器中取出電池：檢測(cè)器（驗(yàn)證）將仍然存在，提供錯(cuò)誤的安全感，因?yàn)樗粫?huì)檢測(cè)煙霧（不可信方）。實(shí)際上，當(dāng)客戶端連接到服務(wù)器時(shí)，驗(yàn)證例程將樂(lè)意接受任何服務(wù)器證書(shū)。

在GitHub上搜索上述弱勢(shì)代碼可以返回13，823個(gè)結(jié)果。另外在StackOverflow上，一些問(wèn)題詢問(wèn)如何忽略證書(shū)錯(cuò)誤，獲取類似于上述易受攻擊的代碼的回復(fù)。這是關(guān)于***投piao***建議禁用任何信任管理。