黑龍江fortify采購-華克斯(推薦商家)

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規則濫用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服務的同時，我們經常開發一系列定制安全檢查和靜態分析規則，以檢測我們在源代碼安全評估中發現的不安全的編碼模式。這些模式可以代表特定于正在評估的應用程序，其架構/設計，使用的組件或甚至開發團隊本身的常見安全漏洞或的安全弱點。這些自定義規則經常被開發以針對特定語言，并且可以根據客戶端使用的或者舒服的方式在特定的靜態分析工具中實現 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審核不安全代碼的Scala

為Spring MVC構建Fortify自定義規則

用PMD保護發展

在本博客文章中，我將專注于開發Fortify SCA的PoC規則，以針對基于Java的應用程序，然而，相同的概念可以輕松擴展到其他工具和/或開發語言。

影響Duo Mobile的近漏洞證實了Georgiev等人的分析，他們展示了各種非瀏覽器軟件，黑龍江fortify采購，庫和中間件中SSL / TLS證書驗證不正確的嚴重安全漏洞。

具體來說，源代碼審計工具fortify采購，在這篇文章中，我們專注于如何識別Java中SSL / TLS API的不安全使用，這可能導致中間人或欺騙性攻擊，從而允許惡意主機模擬受信任的攻擊。將HP Fortify SCA集成到SDLC中可以使應用程序定期有效地掃描漏洞。我們發現，由于SSL API濫用而導致的問題并未通過開箱即用的規則集確定，因此我們為Fortify開發了一個全mian的12個自定義規則包。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

語義本分析儀在程序級別檢測功能和API的潛在危險用途。基本上是一個聰明的GREP。

配置此分析器在應用程序的部署配置文件中搜索錯誤，弱點和策略違規。

緩沖區此分析儀檢測緩沖區溢出漏洞，涉及寫入或讀取比緩沖區容納的更多數據。

分享這個

于十二月二十四日十二時十七分

感謝你非常有用的信息。你知道這些分析儀在內部工作嗎？如果您提供一些細節，我將非常感謝。 - 新手十二月27'12 at 4:22

1

有一個很好的，但干燥的書的主題：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

現在還有一個內容分析器，盡管這與配置分析器類似，除非在非配置文件中搜索問題（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一個非常好的，源代碼掃描工具fortify采購，但在完全不同的抽象層次，源代碼檢測工具fortify采購，我可以用另一種方式回答這個問題：

您的源代碼被轉換為中間模型，該模型針對SCA的分析進行了優化。

某些類型的代碼需要多個階段的翻譯。例如，需要先將C＃文件編譯成一個debug.DLL或.EXE文件，然后將該.NET二進制文件通過.NET SDK實用程序ildasm.exe反匯編成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相應的Fortify SCA翻譯器一次翻譯成該語言。

SCA將模型加載到內存中并加載分析器。每個分析器以協調的方式加載規則并將這些角色應用于程序模型中的功能。

匹配被寫入FPR文件，漏洞匹配信息，安全建議，源代碼，源交叉引用和代碼導航信息，用戶過濾規范，任何自定義規則和數字簽名都壓縮到包中。

HP Fortify

Static

Code Analyzer

(SCA)

 靜態分析–

發現和修復源代碼的安全隱患

   用戶場景：

     用戶擁有開發團隊，擁有源代碼

優勢:

跨語言

跨操作平臺

跨IDE環境

掃描速度快

詳細的中文報告

發現安全漏洞的準確性和全mian性

擁有業界龐大權wei的代碼漏洞規則庫

擁有da的市場份額和gao的用hu口碑

支持的語音：

VB.Net

C#.Net

ASP

VBScript

VB6

Java(Android)

JSP

JavaScript

HTML