Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過程提供身份驗證，機(jī)mi性和完整性的廣泛使用的網(wǎng)絡(luò)安全通信協(xié)議。為確保該方的身份，必須交換和驗證X.509證書。一方當(dāng)事人進(jìn)行身份驗證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個安全的散列函數(shù)，保證了數(shù)據(jù)的完整性。

當(dāng)使用SSL / TLS時，必須執(zhí)行以下兩個步驟，以確保中間沒有人篡改通道：

證書鏈信任驗證：X.509證書指ding頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)（CA）的名稱。服務(wù)器還向客戶端發(fā)送中間CA的證書列表到根CA?？蛻舳蓑炞C每個證書的簽名，到期（以及其他檢查范圍，例如撤銷，基本約束，策略約束等），從下一級到根CA的服務(wù)器證書開始。如果算法到達(dá)鏈中的后一個證書，沒有違規(guī)，則驗證成功。

主機(jī)名驗證：建立信任鏈后，客戶端必須驗證X.509證書的主題是否與所請求的服務(wù)器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進(jìn)行向后兼容。

當(dāng)安全地使用SSL / TLS API并且可能導(dǎo)致應(yīng)用程序通過受攻擊的SSL / TLS通道傳輸敏感信息時，可能會發(fā)生以下錯誤使用情況。

證明所有證書

應(yīng)用程序?qū)崿F(xiàn)一個自定義的TrustManager，使其邏輯將信任每個呈現(xiàn)的服務(wù)器證書，而不執(zhí)行信任鏈驗證。

TrustManager [] trustAllCerts = new TrustManager [] {

       新的X509TrustManager（）{

...

  public void checkServerTrusted（X509Certificate [] certs，

                String authType）源代碼審計工具fortify版本

}

這種情況通常來自于自簽證書被廣泛使用的開發(fā)環(huán)境。根據(jù)我們的經(jīng)驗，黑龍江源代碼審計工具fortify，我們通常會發(fā)現(xiàn)開發(fā)人員完全禁用證書驗證，而不是將證書加載到密鑰庫中。這導(dǎo)致這種危險的編碼模式意外地進(jìn)入生產(chǎn)版本。

當(dāng)這種情況發(fā)生時，它類似于從煙霧探測器中取出電池：檢測器（驗證）將仍然存在，提供錯誤的安全感，因為它不會檢測煙霧（不可信方）。實(shí)際上，當(dāng)客戶端連接到服務(wù)器時，驗證例程將樂意接受任何服務(wù)器證書。

在GitHub上搜索上述弱勢代碼可以返回13，823個結(jié)果。另外在StackOverflow上，一些問題詢問如何忽略證書錯誤，獲取類似于上述易受攻擊的代碼的回復(fù)。這是關(guān)于投piao建議禁用任何信任管理。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

注意：HP-UX，IBM?AIX?，Oracle?Solaris?和Free BSD不支持審核工作臺和安全編碼插件。

注意：Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全編碼包。

國際平臺與架構(gòu)

HP Fortify SCA在以下平臺上安裝時支持雙字節(jié)和國際字符集：

操作系統(tǒng)版本架構(gòu)

Linux RedHat?ES 5，

Novell SUSE 10

Fedora Core 7 x86：32位

Windows?2003 SP1

2008年

Vista業(yè)務(wù)

Vista Ultimate x86：32位

Oracle Solaris 10 x86

對于非英語平臺，不支持以下內(nèi)容：

操作系統(tǒng)：Windows 2000，HP-UX，IBM AIX，Macintosh OS X，Oracle Solaris SPARC和所有64位架構(gòu)

應(yīng)用服務(wù)器：Jrun，jBoss，BEA Weblogic 10

數(shù)據(jù)庫：DB2

注意：本版本中不包含本地化文檔。

語言

HP Fortify SCA支持以下編程語言：

語言版本

ASP.NET，VB.NET，C＃（.NET）1.1，2.0，3.0，3.5

C / C 請參見“編譯器”

經(jīng)典ASP（帶VBscript）2/3

COBOL IBM Enterprise Cobol for z / OS 3.4.1與IMS，DB2，CICS，MQ

CFML 5，7，8

HTML 2

Java 1.3，1.4，1.5，1.6

的Javascript / AJAX 1.7

JSP JSP 1.2 / 2.1

PHP 5

PL / SQL 8.1.6

Python 2.6中

T-SQL SQL Server 2005

Visual Basic 6

VBscript 2.0 / 5.0

Actionscript / MXML 3和4

XML 1.0

ABAP / 4

構(gòu)建工具版本

Ant 1.5.x，1.6.x，1.7.x

Maven 2.0.9或更高版本

編譯器

HP Fortify SCA支持以下編譯器：

編譯器操作系統(tǒng)

GNU gcc 2.9 - 4 AIX，Linux，HP-UX，Mac OS，源代碼審計工具fortify采購，Solaris，Windows

GNU g 3 - 4 AIX，Linux，HP-UX，Mac OS，Solaris，Windows

IBM javac 1.3 - 1.6 AIX

英特爾icc 8.0 Linux

Microsoft cl 12.x - 13.x Windows

Microsoft csc 7.1 - 8.x Windows

Oracle cc 5.5 Solaris

Oracle javac 1.3 - 1.6 Linux，HP-UX，Mac OS，Solaris，Windows

綜合開發(fā)環(huán)境

適用于Eclipse的HP Fortify軟件安全中心插件和用于Visual Studio的HP Fortify Software Security Center軟件包在以下平臺上受支持：

操作系統(tǒng)IDE

Linux Eclipse 3.2，3.3，3.4，3.5，3.6

RAD 7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Windows Eclipse 3.2，3.3，3.4，3.5

Visual Studio 2003，源代碼審計工具fortify代理商，2005，2008，2010

RAD 6，7，7.5

RSA 7，7.5

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

Mac OSX Eclipse 3.2，3.3，3.4，3.5，3.6

JBuilder 2008 R2

JDeveloper 10.1.3，11.1.1

注意：HP Fortify Software Security Center不支持在64位JRE上運(yùn)行的Eclipse 3.4 。但是，HP Fortify軟件安全中心確實(shí)支持在64位平臺上在32位JRE上運(yùn)行的32位Eclipse。

第三方整合

HP Fortify Audit Workbench和Secure Code Plug-ins（SCP）支持以下服務(wù)集成：

服務(wù)應(yīng)用版本支持的工具

Bug創(chuàng)建Bugzilla 3.0審核工作臺，

Visual Studio SCP，

Eclipse SCP

惠普質(zhì)量中心9.2，10.0審核工作臺，

Eclipse SCP的

Microsoft Team Foundation Server 2005，2008，2010 Visual Studio SCP

注意：HP Quality Center集成要求您在Windows平臺上安裝用于Eclipse的Audit Workbench和/或Secure Code Plug-in。

注意：HP Quality Center集成需要您安裝HPQC客戶端加載項軟件。

注意：Team Foundation Server集成需要您安裝Visual Studio Team Explorer軟件。

Fortify SCA支持系統(tǒng)平臺，能掃描的語言種類是的。

Fortify SCA能全mian地（五個層面）分析源代碼中存在的問題。

Fortify SCA能夠掃描出來350多種漏洞，擁有目前業(yè)界權(quán)wei的安全規(guī)則庫，與世界同步。

Fortify SCA的測試掃描速度快，約1分鐘1萬行。

Fortify SCA提供了強(qiáng)大的審計平臺和詳細(xì)的漏洞信息。

Fortify SCA提供了漏洞的詳細(xì)中文說明和相應(yīng)的修復(fù)建議。

Fortify SCA操作簡單，使用方便，源代碼審計工具fortify版本，易用，界面設(shè)計人性化。

Fortify SCA獲得多項國際大獎，目前市場占有率第yi。

Fortify SCA是唯yi一個被國內(nèi)多家安全測評機(jī)構(gòu)所認(rèn)可并使用的代碼安全測試產(chǎn)品。

Fortify SCA 在600多家客戶，在國內(nèi)也有30多家客戶，豐富的實(shí)施經(jīng)驗，國內(nèi)擁有的服務(wù)團(tuán)隊和售后支持團(tuán)隊。

源代碼審計工具fortify采購-華克斯(推薦商家)由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司是一家從事“Loadrunner,Fortify,源代碼審計,源代碼掃描”的公司。自成立以來，我們堅持以“誠信為本，穩(wěn)健經(jīng)營”的方針，勇于參與市場的良性競爭，使“Loadrunner,Fortify,Webinspect”品牌擁有良好口碑。我們堅持“服務(wù)至上，用戶至上”的原則，使華克斯在行業(yè)軟件中贏得了客戶的信任，樹立了良好的企業(yè)形象。 特別說明：本信息的圖片和資料僅供參考，歡迎聯(lián)系我們索取準(zhǔn)確的資料，謝謝！