Fortify软件
强化静态代码分析器
Fortify静态代码分析器在软件开发生命周期早期识别源代码中的安全漏洞,并提供jia实践,使开发人员可以更安全地编码。
通过建立更好的软件降低安全风险
Security Fortify静态代码分析器(SCA)由开发组和安全人员用于分析应用程序的源代码以获取安全问题。 SCA识别软件安全漏洞的根本原因,并通过代码修复指导提供准确的,风险排名的结果,使您的团队能够轻松解决严重问题。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
日期:2017年6月8日上午7:00
在提供GDS安全SDLC服务的同时,我们经常开发一系列定制安全检查和静态分析规则,以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序,其架构/设计,使用的组件或甚至开发团队本身的常见安全漏洞或独特的安全弱点。这些自定义规则经常被开发以针对特定语言,并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs,PMD,Visual Studio以及Fortify SCA。
使用Findbugs审核不安全代码的Scala
为Spring MVC构建Fortify自定义规则
用PMD保护发展
在本博客文章中,我将专注于开发Fortify SCA的PoC规则,以针对基于Java的应用程序,然而,相同的概念可以轻松扩展到其他工具和/或开发语言。
影响Duo Mobile的近漏洞证实了Georgiev等人的分析,他们展示了各种非浏览器软件,库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。
具体来说,在这篇文章中,我们专注于如何识别Java中SSL / TLS API的不安全使用,这可能导致中间人或欺骗性攻击,从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现,由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定,因此我们为Fortify开发了一个全mian的12个自定义规则包。
Fortify软件
强化静态代码分析器
使软件更快地生产
HP Fortify静态代码分析器
注意:HP-UX,IBM®AIX®,Oracle™Solaris™和Free BSD不支持审核工作台和安全编码插件。
注意:Windows Vista或更高版本不支持Microsoft Visual Studio 2003的安全编码包。
国际平台与架构
HP Fortify SCA在以下平台上安装时支持双字节和国际字符集:
操作系统版本架构
Linux RedHat®ES 5,
Novell SUSE 10
Fedora Core 7 x86:32位
Windows®2003 SP1
2008年
Vista业务
Vista Ultimate x86:32位
Oracle Solaris 10 x86
对于非英语平台,不支持以下内容:
操作系统:Windows 2000,HP-UX,IBM AIX,Macintosh OS X,Oracle Solaris SPARC和所有64位架构
应用服务器:Jrun,jBoss,BEA Weblogic 10
数据库:DB2
注意:本版本中不包含本地化文档。
语言
HP Fortify SCA支持以下编程语言:
语言版本
,VB.NET,C#(.NET)1.1,2.0,3.0,3.5
C / C ++请参见“编译器”
经典ASP(带VBScript)2/3
COBOL IBM Enterprise Cobol for z / OS 3.4.1与IMS,DB2,CICS,MQ
CFML 5,7,8
HTML 2
Java 1.3,1.4,1.5,1.6
的JavaScript / AJAX 1.7
JSP JSP 1.2 / 2.1
PHP 5
PL / SQL 8.1.6
Python 2.6中
T-SQL SQL Server 2005
Visual Basic 6
VBScript 2.0 / 5.0
ActionScript / MXML 3和4
XML 1.0
ABAP / 4
构建工具版本
Ant 1.5.x,1.6.x,1.7.x
Maven 2.0.9或更高版本
编译器
HP Fortify SCA支持以下编译器:
编译器操作系统
GNU gcc 2.9 - 4 AIX,Linux,HP-UX,Mac OS,Solaris,Windows
GNU g ++ 3 - 4 AIX,Linux,HP-UX,Mac OS,Solaris,Windows
IBM javac 1.3 - 1.6 AIX
英特尔icc 8.0 Linux
Microsoft cl 12.x - 13.x Windows
Microsoft csc 7.1 - 8.x Windows
Oracle cc 5.5 Solaris
Oracle javac 1.3 - 1.6 Linux,HP-UX,Mac OS,Solaris,Windows
综合开发环境
适用于Eclipse的HP Fortify软件安全中心插件和用于Visual Studio的HP Fortify Software Security Center软件包在以下平台上受支持:
操作系统IDE
Linux Eclipse 3.2,3.3,3.4,3.5,3.6
RAD 7,7.5
RSA 7,7.5
JBuilder 2008 R2
JDeveloper 10.1.3,11.1.1
Windows Eclipse 3.2,3.3,3.4,3.5
Visual Studio 2003,2005,2008,2010
RAD 6,7,7.5
RSA 7,7.5
JBuilder 2008 R2
JDeveloper 10.1.3,11.1.1
Mac OSX Eclipse 3.2,3.3,3.4,3.5,3.6
JBuilder 2008 R2
JDeveloper 10.1.3,11.1.1
注意:HP Fortify Software Security Center不支持在64位JRE上运行的Eclipse 3.4+。但是,HP Fortify软件安全中心确实支持在64位平台上在32位JRE上运行的32位Eclipse。
第三方整合
HP Fortify Audit Workbench和Secure Code Plug-ins(SCP)支持以下服务集成:
服务应用版本支持的工具
Bug创建Bugzilla 3.0审核工作台,
Visual Studio SCP,
Eclipse SCP
惠普质量中心9.2,10.0审核工作台,
Eclipse SCP的
Microsoft Team Foundation Server 2005,2008,2010 Visual Studio SCP
注意:HP Quality Center集成要求您在Windows平台上安装用于Eclipse的Audit Workbench和/或Secure Code Plug-in。
注意:HP Quality Center集成需要您安装HPQC客户端加载项软件。
注意:Team Foundation Server集成需要您安装Visual Studio Team Explorer软件。
Fortify软件
强化静态代码分析器
使软件更快地生产
HP Fortify静态代码分析器
强化SCA
我开始使用自定义扩展名#4,并希望自动化Fortify扫描。这是我第yi次真的不确定这应该是什么样的扩展。它是一个源代码控制分析器,所以感觉它应该是一个报告动作,如FxCop或NCover,但本机输出格式“FPR”是一个二进制的blob,显然不适合任何ReportType枚举选项。可以将其输出为可部署,但在概念上听起来错误。在某些情况下,我们可以直接将报告发送到中央服务器,因此如果您考虑将步骤部署到Fortify服务器,那么只需将其简单地随机部署就不完全不准确。
其他并发zheng在于,强化SCA有时可能非常缓慢,我几乎可以将其作为推广要求,如果我们可以找到一个很好的方式进行后台安排,但是我没有看到任何长时间运行的背景的例子任务在GitHub上的扩展。
这听起来像一个报告行动的好候选人,但使用ZippedHtml选项。虽然该报表输出二进制文件,您可以使用该文件的超链接将一个html文件写入磁盘,并将其用作索引。两者都将包含在zip文件中,并存在于报表中。如果FPR文件很大,hao将其保存在磁盘上,否则它不会保存在数据库中。
还有一些额外的内置报告操作不在GitHub上;您可以通过反射器或其他东西找到或填写源代码申请表。
当然没有背景行动,但有一个选择可能是...
观看促销已完成事件的触发器
在后台运行报告使用BuildOutputs_AddOutput操作将报告添加到Build
添加促销要求以验证报告已完成
希望有所帮助。我会很好奇看到你想出了什么。
以上信息由专业从事源代码检测工具fortify规则库的华克斯于2024/12/25 14:36:51发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2828865499.html
