Fortify SCA 扫描的结果如下:
Fortify SCA 的结果文件为.FPR 文件,包括详细的漏洞信息:漏
洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明 及修复建议等。如下:
分级报告漏洞的信息 项目的源代码 漏洞推荐修复的方法
漏洞产生的全路
径的跟踪信息
漏洞的详细说明
图2:Foritfy AWB 查看结果
3.Fortify SCA 支持的平台:
4.Fortify
SCA 支持的编程语言:
5.Fortify SCA plug-In
支持的有:
6.Fortify SCA 目前能够扫描的安全漏洞种类有:
目前Fortify SCA可以扫描出约 300
种漏洞,Fortify将所有安全
漏洞整理分类,根据开发语言分项目,再细分为 8 个大类,约
300
个 子类:
Fortify软件
强化静态代码分析器
使软件更快地生产
转移景观
语言支持也得到了扩展,完全支持PHP,JavaScript,COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。Fortify SCA以前一直支持C#,VB.NET,Java和C / C ++,ColdFusion和存储过程语言,如Microsoft TSQL和Oracle PL / SQL。
“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快,”Meftah解释说。 “这些COM语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
SANS Institute互联网风暴中心首席研究员Johannes Ullrich表示,Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”Ullrich说。 “这是一个巨大的时间保护,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码审查。
Fortify SCA旨在与现有工具和IDE集成,包括Microsoft Visual Studio,Eclipse和IBM Rapid Application Developer(RAD)。基于Java的套件运行在各种操作系统上,包括Windows,Linux,Mac OS X和各种各样的Unix。
许可证的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(Michael Desmond)是1105媒体企业计算组织的编辑兼作家。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
我们的贡献:强制性的SCA规则
为了检测上述不安全的用法,我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题,因为它们是厚客户端和Android应用程序的广泛使用的库。
超许可主机名验证器:当代码声明一个HostnameVerifier时,该规则被触发,并且它总是返回'true'。
<谓词>
<![CDATA [
函数f:f.name是“verify”和f.pers
包含[Class:name ==“.nameVerifier”]和
f.parameters [0] .是“ng.String”和
f.parameters [1] .是“.ssl.SSLSession”和
f.是“boolean”,f包含
[ReturnStatement r:r.nstantValue matches“true”]
]]>
</谓词>
过度允许的信任管理器:当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。
<谓词>
<![CDATA [
函数f:f.name是“checkServerTrusted”和
f.parameters [0] .是“curity.cert.X509Certificate”
和f.parameters [1] .是“ng.String”和
f.是“void”而不是f包含[ThrowStatement t:
t.expression.pers包含[Class:name ==
“(curity.cert.CertificateException | curity.cert.CertificateException)”]
]]>
</谓词>
缺少主机名验证:当代码使用低级SSLSocket API并且未设置HostnameVerifier时,将触发该规则。
经常被误用:自定义HostnameVerifier:当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时,该规则被触发。
经常被误用:自定义SSLSocketFactory:当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时,该规则被触发。
我们决定启动“经常被滥用”的规则,因为应用程序正在使用API,并且应该手动审查这些方法的重写。
规则包可在Github上获得。这些检查应始终在源代码分析期间执行,以确保代码不会引入不安全的SSL / TLS使用。
https:///GDSSecurity/JSSE_Fortify_SCA_Rules
AuthorAndrea Scaduto |评论关闭|分享文章分享文章
标签TagCustom规则,CategoryApplication安全性中的TagSDL,CategoryCustom规则
以上信息由专业从事源代码审计工具fortify报告中文插件的华克斯于2025/3/28 16:18:30发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2851667191.html
上一条:湖南网眼布单价值得信赖 华宏织造
