Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

語義本分析儀在程序級別檢測功能和API的潛在危險用途。基本上是一個聰明的GREP。

配置此分析器在應用程序的部署配置文件中搜索錯誤，弱點和策略違規。

緩沖區此分析儀檢測緩沖區溢出漏洞，涉及寫入或讀取比緩沖區容納的更多數據。

分享這個

于十二月二十四日十二時十七分

感謝你非常有用的信息。你知道這些分析儀在內部工作嗎？如果您提供一些細節，我將非常感謝。 - 新手十二月27'12 at 4:22

1

有一個很好的，但干燥的書的主題：/Secure-Programming-Static-Analysis-Brian/dp/... - LaJmOn Nov 8 '12 at 16:09

現在還有一個內容分析器，盡管這與配置分析器類似，源代碼掃描工具fortify工具，除非在非配置文件中搜索問題（例如查找HTML，JSP for XPath匹配） - lavamunky 11月28日13日11:38

@LaJmOn有一個非常好的，但在完全不同的抽象層次，我可以用另一種方式回答這個問題：

您的源代碼被轉換為中間模型，該模型針對SCA的分析進行了優化。

某些類型的代碼需要多個階段的翻譯。例如，需要先將C＃文件編譯成一個debug.DLL或.EXE文件，然后將該.NET二進制文件通過.NET SDK實用程序ildasm.exe反匯編成Microsoft Intermediate Language（MSIL）。而像其他文件（如Java文件或ASP文件）由相應的Fortify SCA翻譯器一次翻譯成該語言。

SCA將模型加載到內存中并加載分析器。每個分析器以協調的方式加載規則并將這些角色應用于程序模型中的功能。

匹配被寫入FPR文件，華南fortify工具，漏洞匹配信息，安全建議，源代碼，源交叉引用和代碼導航信息，用戶過濾規范，任何自定義規則和數字簽名都壓縮到包中。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規則濫用

我們的貢獻：強制性的SCA規則

為了檢測上述不安全的用法，我們在HP Fortify SCA的12個自定義規則中對以下檢查進行了編碼。這些規則確定了依賴于JSSE和Apache HTTPClient的代碼中的問題，因為它們是厚客戶端和Android應用程序的廣泛使用的庫。

超許可主機名驗證器：當代碼聲明一個HostnameVerifier時，該規則被觸發，并且它總是返回'true'。

函數f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許的信任管理器：當代碼聲明一個TrustManager并且它不會拋出一個CertificateException時觸發該規則。拋出異常是API管理意外狀況的方式。

函數f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主機名驗證：當代碼使用低級SSLSocket API并且未設置HostnameVerifier時，將觸發該規則。

經常被誤用：自定義HostnameVerifier：當代碼使用HttpsURLConnection API并且它設置自定義主機名驗證器時，該規則被觸發。

經常被誤用：自定義SSLSocketFactory：當代碼使用HttpsURLConnection API并且它設置自定義SSLSocketFactory時，該規則被觸發。

我們決定啟動“經常被濫用”的規則，因為應用程序正在使用API，并且應該手動審查這些方法的重寫。

規則包可在Github上獲得。這些檢查應始終在源代碼分析期間執行，以確保代碼不會引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關閉|分享文章分享文章

標簽TagCustom規則，CategoryApplication安全性中的TagSDL，CategoryCustom規則

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HP Fortify靜態代碼分析器

Fortify SCA 5.0設置了一個全mian的新酒吧

Fortify SCA 5.0通過分析360技術增強了行業領xian的分析儀功能，可以處理安全開發面臨的da問題，以及新的不斷發展的攻擊。通過分析360，Fortify SCA減少了錯誤的否定，以確保沒有錯過，同時da限度地減少誤報，所以開發側重于關鍵的代碼問題。使用Fortify SCA 5.0，已經添加或增強了分析功能，以提高精度，源代碼掃描工具fortify工具，包括：

- 多維色彩傳播 - 此功能有助于

找到遠程可利用的錯誤，這對于查找特別有用

隱私管理故障和其他與PCI有關的錯誤。

- 基于約束的漏洞排名 - 提取一組布爾值

來自代碼的約束方程，并使用約束求解器進行排序

錯誤的編碼實踐可能被利用的可能性的。

- 過程間數據流分析 - 使用有限狀態自動機

通過代碼模擬可能的執行路徑。

- 關聯故障診斷 - 允許用戶消除整個

通過將跟隨相同的結果相關聯的假陽性類

代碼模式。

Fortify SCA 5.0增加了對四種新編程語言的支持

- 經典ASP - 今天，成千上萬的遺留應用程序寫入

經典的ASP需要針對普通的，的

漏洞，如SQL注入和跨站點腳本。

- COBOL - 幾十年前發明 - 在應用程序安全性之前很久

COBOL的重要性隨著企業曝光而重新浮出水面

系統通過面向服務架構（SOA）的舉措。

- JavaScript - 今天，JavaScript可能是增長快的編程

語言 - 其安全問題已經有很好的記錄 - 包括

Fortify發現JavaScript劫持。

- PHP - 近的揚基集團報告“Web 2.0安全列車殘骸”

（Andrew Jaquith，2017年10月），引用“幾個流行應用程序”

基于PHP框架，如phpBB，具有驚人的安全性

跟蹤記錄，“補充說，”PHP開發人員往往是“scripters”

沒有正式的安全培訓。“強化SCA 5.0給了大的和

越來越多的PHP開發人員自動清理系統代碼。

要了解有關Fortify SCA 5.0的更多信息，請于11月13日上午11點至12點舉行Fortify網絡研討會“強化SCA 5.0：無邊界應用安全”。 Pacific，華克斯。

關于Fortify Software，Inc.

Fortify?軟件產品可以保護企業免受關鍵業務軟件應用程序安全漏洞所帶來的威脅。其軟件安全產品 - Fortify SCA，Fortify Manager，Fortify Tracer和Fortify Defender - 通過自動化開發和部署安全應用程序的關鍵流程降低成本和安全風險。 Fortify Software的客戶包括機構和財富500強企業，如金融服務，醫liao保健，電子商務，源代碼檢測工具fortify工具，電信，出版，保險，系統集成和信息管理。該公司得到世界ji軟件安全和合作伙伴的支持。更多信息，