源代码审计工具fortify规则库-苏州华克斯信息

Fortify软件

强化静态代码分析器

使软件更快地生产

语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。

配置此分析器在应用程序的部署配置文件中搜索错误，弱点和策略违规。

缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。

分享这个

于十二月二十四日十二时十七分

感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，我将非常感谢。 - 新手十二月27"12 at 4:22

1

有一个很好的，但干燥的书的主题：amazon.com/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 "12 at 16:09

现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一个非常好的，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：

您的源代码被转换为中间模型，该模型针对SCA的分析进行了优化。

某些类型的代码需要多个阶段的翻译。例如，需要先将C＃文件编译成一个debug.DLL或.EXE文件，然后将该.NET二进制文件通过.NET SDK实用程序ildasm.exe反汇编成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相应的Fortify SCA翻译器一次翻译成该语言。

SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。

匹配被写入FPR文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。

Fortify软件

强化静态代码分析器

使软件更快地生产

如何修正HP Fortify SCA报告中的弱点？

HP Fortify SCA，Lucent Sky AVM以及法规遵循

如果你的组织的法规遵循要求要修正HP Fortify SCA找到的所有结果（或是符合特定条件的结果，例如严重和高风险），Lucent Sky AVM可以被调整来找一一的结果，源代码审计工具fortify规则库，并提供更多的功能 - 修正达90％的弱点。

有效果的报告

许多静态程序码扫描工具是由资讯安全所设计来给其他的资讯安全使用。因此，它们需要人士操作，而且产出的报告和结果难以实际帮助。Lucent Sky AVM提供为开发提供分析结果以及即时修复（能够直接修正如跨站脚本和SQL注入等常见弱点的程式码片段），让不是资讯安全的使用者能够使用强化程式码的安全。

对于需要法规遵循报告的企业来说，Lucent Sky AVM能协助开发与资讯安全团队通过HP Fortify SCA的检测并减少误报带来的困扰，同时大幅地降低强化应用程序安全所需要的时间和精力。进一步了解Lucent Sky AVM和静态程序码扫描工具报告的差别，请报告比较表。

修正HP Fortify SCA报告中的弱点可以轻松快速

申请测试来亲自体验Lucent Sky AVM。想知道Lucent Sky AVM可以如何在你的环境中和HP Fortify SCA共享，别再等了！

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

安全套接字层（SSL / TLS）是使用加密过程提供身份验证，机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份，必须交换和验证X.509证书。一方当事人进行身份验证后，协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数，保证了数据的完整性。

当使用SSL / TLS时，必须执行以下两个步骤，源代码检测工具fortify规则库，以确保中间没有人篡改通道：

证书链信任验证：X.509证书指ding颁发证书的证书颁发机构（CA）的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名，到期（以及其他检查范围，黑龙江fortify规则库，例如撤销，基本约束，策略约束等），从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书，没有违规，则验证成功。

主机名验证：建立信任链后，客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。

当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时，可能会发生以下错误使用情况。

证明所有证书

应用程序实现一个自定义的TrustManager，使其逻辑将信任每个呈现的服务器证书，源代码审计工具fortify规则库，而不执行信任链验证。

TrustManager [] trustAllCerts = new TrustManager [] {

       新的X509TrustManager（）{

...

  public void checkServerTrusted（X509Certificate [] certs，

                String authType）fortify规则库

}

这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验，我们通常会发现开发人员完全禁用证书验证，而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。

当这种情况发生时，它类似于从烟雾探测器中取出电池：检测器（验证）将仍然存在，提供错误的安全感，因为它不会检测烟雾（不可信方）。实际上，当客户端连接到服务器时，验证例程将乐意接受任何服务器证书。

在GitHub上搜索上述弱势代码可以返回13，823个结果。另外在StackOverflow上，一些问题询问如何忽略证书错误，获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何信任管理。