fortify哪里有賣-蘇州華克斯信息

FortifySCA與強化SSC之間的差異

Fortify SCA和Fortify SSC有什么區別？這些軟件產生的報告是否有差異。我知道Fortify SSC是一個基于網絡的應用程序。我可以使用Fortify SCA作為基于Web的應用程序嗎？

Fortify SCA以前被稱為源代碼分析器（在fortify 360中），但現在是靜態代碼分析器。相同的首字母縮略詞，相同的代碼，只是名字改變了。

SSC（“軟件安全中心”）以前稱為Fortify 360 Server?；萜罩匦旅⑦M行了其他更改。

SCA是一個命令行程序。您通常使用SCA從靜態代碼分析角度掃描代碼（通過sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打開該文件，或將其上傳到SSC，您可以在其中跟蹤趨勢。

審計工作臺與SCA一起安裝;它是一個圖形應用程序，源代碼掃描工具fortify哪里有賣，允許您查看掃描結果，添加審核數據，應用過濾器和運行簡單報告。

另一方面，源代碼審計工具fortify哪里有賣，SSC是基于網絡的;這是一個可以安裝到tomcat或您喜歡的應用程序服務器的java。關于SSC的報告使用不同的技術，更適he運行集中度量。您可以報告特定掃描的結果，或歷史記錄（當前掃描與之前的掃描之間發生變化）。如果您想要掃描掃描的差異，趨勢，歷史等，請在上傳FPR一段時間后使用SSC進行報告。

沒有SSC，基本報告功能允許您將FPR文件（二進制）轉換為xml，pdf或rtf，但只能給出特定掃描的結果，而不是歷史記錄（當前掃描和任何早期的）。

關閉主題：還有一個動態分析產品HP WebInspect。該產品還能夠導出FPR文件，可以同樣導入到SSC中進行報告。如果您希望定期安排動態掃描，WebInspect Enterprise可以做到這一點。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規則濫用

允許所有的行動

應用程序不檢查服務器發送的數字證書是否發送到客戶端正在連接的URL。

Java安全套接字擴展（JSSE）提供兩組API來建立安全通信，一個HttpsURLConnection API和一個低級SSLSocket API。

HttpsURLConnection API默認執行主機名驗證，再次可以通過覆蓋相應的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時，大約有12，800個結果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不開箱即可執行主機名驗證。以下代碼是Java 8片段，僅當端點標識算法與空字符串或NULL值不同時才執行主機名驗證。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（發動機））;

 }

 ...

}

當SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時，識別算法設置為NULL，因此主機名驗證被默認跳過。因此，如果攻擊者在客戶端連接到“”時在網絡上具有MITM位置，則應用程序還將接受為“some-evil-”頒發的有效的服務器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當使用原始SSLSocket和SSLEngine類時，您應該始終在發送任何數據之前檢查對等體的憑據。 SSLSocket和SSLEngine類不會自動驗證URL中的主機名與對等體憑

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜態代碼分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核工作臺和安全編碼插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全編碼包。

國際平臺與架構

HP Fortify SCA在以下平臺上安裝時支持雙字節和國際字符集：

操作系統版本架構

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業務

Vista Ultimate x86：32位

Oracle Solaris 10 x86

對于非英語平臺，不支持以下內容：

操作系統：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架構

應用服務器：Jrun，jBoss，BEA Weblogic 10

數據庫：DB2

注意：本版本中不包含本地化文檔。

語言

HP Fortify SCA支持以下編程語言：

語言版本

，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C ++請參見“編譯器”

經典ASP（帶VBScript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，DB2，源代碼檢測工具fortify哪里有賣，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的JavaScript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBScript 2.0 / 5.0

Acti***cript / MXML 3和4

XML 1.0

ABAP / 4

構建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或更高版本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

GNU g ++ 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發環境

適用于Eclipse的HP Fortify軟件安全中心插件和用于Visual Studio的HP Fortify Software Security Center軟件包在以下平臺上受支持：

操作系統IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，fortify哪里有賣，3.3，3.4，3.5

Visual Studio 2003，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，3.3，3.4，3.5，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上運行的Eclipse 3.4+。但是，HP Fortify軟件安全中心確實支持在64位平臺上在32位JRE上運行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服務集成：

服務應用版本支持的工具

Bug創建Bugzilla 3.0審核工作臺，

Visual Studio SCP，

Eclipse SCP

惠普質量中心9.2，10.0審核工作臺，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平臺上安裝用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安裝HPQC客戶端加載項軟件。

注意：Team Foundation Server集成需要您安裝Visual Studio Team Explorer軟件。