Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服務(wù)的同時(shí)，源代碼審計(jì)工具fortify報(bào)告中文插件，我們經(jīng)常開發(fā)一系列定制安全檢查和靜態(tài)分析規(guī)則，以檢測(cè)我們?cè)谠创a安全評(píng)估中發(fā)現(xiàn)的不安全的編碼模式。這些模式可以代表特定于正在評(píng)估的應(yīng)用程序，其架構(gòu)/設(shè)計(jì)，使用的組件或甚至開發(fā)團(tuán)隊(duì)本身的常見安全漏洞或的安全弱點(diǎn)。這些自定義規(guī)則經(jīng)常被開發(fā)以針對(duì)特定語(yǔ)言，并且可以根據(jù)客戶端使用的或者舒服的方式在特定的靜態(tài)分析工具中實(shí)現(xiàn) - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審核不安全代碼的Scala

為Spring MVC構(gòu)建Fortify自定義規(guī)則

用PMD保護(hù)發(fā)展

在本博客文章中，我將專注于開發(fā)Fortify SCA的PoC規(guī)則，以針對(duì)基于Java的應(yīng)用程序，然而，源代碼掃描工具fortify報(bào)告中文插件，相同的概念可以輕松擴(kuò)展到其他工具和/或開發(fā)語(yǔ)言。

影響Duo Mobile的近漏洞證實(shí)了Georgiev等人的分析，他們展示了各種非瀏覽器軟件，庫(kù)和中間件中SSL / TLS證書驗(yàn)證不正確的嚴(yán)重安全漏洞。

具體來說，在這篇文章中，我們專注于如何識(shí)別Java中SSL / TLS API的不安全使用，這可能導(dǎo)致中間人或欺騙性攻擊，從而允許惡意主機(jī)模擬受信任的攻擊。將HP Fortify SCA集成到SDLC中可以使應(yīng)用程序定期有效地掃描漏洞。我們發(fā)現(xiàn)，由于SSL API濫用而導(dǎo)致的問題并未通過開箱即用的規(guī)則集確定，因此我們?yōu)镕ortify開發(fā)了一個(gè)全mian的12個(gè)自定義規(guī)則包。

FortifySCA與強(qiáng)化SSC之間的差異

Fortify SCA和Fortify SSC有什么區(qū)別？這些軟件產(chǎn)生的報(bào)告是否有差異。我知道Fortify SSC是一個(gè)基于網(wǎng)絡(luò)的應(yīng)用程序。我可以使用Fortify SCA作為基于Web的應(yīng)用程序嗎？

Fortify?SCA以前被稱為源代碼分析器（在fortify 360中），但現(xiàn)在是靜態(tài)代碼分析器。相同的首字母縮略詞，相同的代碼，只是名字改變了。

SSC（“軟件安全中心”）以前稱為Fortify 360 Server。惠普重新命名并進(jìn)行了其他更改。

SCA是一個(gè)命令行程序。您通常使用SCA從靜態(tài)代碼分析角度掃描代碼（通過sourceanalyzer或），生成FPR文件，然后使用Audit Workbench打開該文件，或?qū)⑵渖蟼鞯絊SC，您可以在其中跟蹤趨勢(shì)。

審計(jì)工作臺(tái)與SCA一起安裝;它是一個(gè)圖形應(yīng)用程序，允許您查看掃描結(jié)果，添加審核數(shù)據(jù)，應(yīng)用過濾器和運(yùn)行簡(jiǎn)單報(bào)告。

另一方面，SSC是基于網(wǎng)絡(luò)的;這是一個(gè)可以安裝到tomcat或您喜歡的應(yīng)用程序服務(wù)器的java。關(guān)于SSC的報(bào)告使用不同的技術(shù)，更適he運(yùn)行集中度量。您可以報(bào)告特定掃描的結(jié)果，或歷史記錄（當(dāng)前掃描與之前的掃描之間發(fā)生變化）。如果您想要掃描掃描的差異，趨勢(shì)，歷史等，請(qǐng)?jiān)谏蟼鱂PR一段時(shí)間后使用SSC進(jìn)行報(bào)告。

沒有SSC，基本報(bào)告功能允許您將FPR文件（二進(jìn)制）轉(zhuǎn)換為xml，fortify報(bào)告中文插件，pdf或rtf，但只能給出特定掃描的結(jié)果，而不是歷史記錄（當(dāng)前掃描和任何早期的）。

關(guān)閉主題：還有一個(gè)動(dòng)態(tài)分析產(chǎn)品HP WebInspect。該產(chǎn)品還能夠?qū)С鯢PR文件，可以同樣導(dǎo)入到SSC中進(jìn)行報(bào)告。如果您希望定期安排動(dòng)態(tài)掃描，WebInspect Enterprise可以做到這一點(diǎn)。

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

HP Fortify靜態(tài)代碼分析器

Fortify SCA 5.0提供從未在應(yīng)用程序安全性中提供的功能，涵蓋企業(yè)需要加速安全開發(fā)的三個(gè)關(guān)鍵領(lǐng)域：

- 定制 - 絕大多數(shù)今天的企業(yè)都有自定義的

應(yīng)用程序，安全過程和反映他們的編碼風(fēng)格

競(jìng)爭(zhēng)力。任何成功的應(yīng)用安全實(shí)現(xiàn)

必須適應(yīng)各企業(yè)發(fā)展需要的性。

Fortify SCA 5.0使企業(yè)能夠?yàn)槠鋭?chuàng)建自定義規(guī)則

他們的任務(wù)關(guān)鍵應(yīng)用程序，以及給安全人員

和其他非開發(fā)團(tuán)隊(duì)成員有能力創(chuàng)建規(guī)則

分鐘，而不是幾天，而不需要先前的編碼

經(jīng)驗(yàn)。

- 協(xié)作 - 安全審核員的擴(kuò)展團(tuán)隊(duì)，合規(guī)性

，發(fā)展主管和管理軟件

發(fā)展跨度時(shí)區(qū)和組織圖。強(qiáng)化SCA 5.0

使開發(fā)人員和審計(jì)人員能夠在代碼審查，安全性方面進(jìn)行協(xié)作

錯(cuò)誤分類和審核作為一個(gè)復(fù)雜的開發(fā)項(xiàng)目的團(tuán)隊(duì)。

- 全mian

- Fortify幫助企業(yè)部署全mian的

保護(hù)過去，現(xiàn)在和未來應(yīng)用的安全策略。如

不斷變化的黑ke帶來了新的漏洞類

景觀和新技術(shù)，如Web 2.0。并且繼續(xù)使用漏洞

要發(fā)展，安全和發(fā)展團(tuán)隊(duì)必須采取一切可能的步驟

確保他們的軟件。通過PHP和JavaScript支持，F(xiàn)ortify SCA

5.0幫助開發(fā)團(tuán)隊(duì)面向未來的應(yīng)用程序。為了遺產(chǎn)

應(yīng)用程序，F(xiàn)ortify SCA 5.0將支持COBOL和Classic ASP

保護(hù)舊的任務(wù)關(guān)鍵型應(yīng)用程序 - 特別是它們

由SOA部署暴露。

“選擇應(yīng)用程序安全測(cè)試技術(shù)時(shí)，企業(yè)應(yīng)該將這些產(chǎn)品集成到流xing的開發(fā)和測(cè)試工作室（如Eclipse或Visual Studio）中，分析編程語(yǔ)言的數(shù)量以及測(cè)試能力的速度和規(guī)模，”Joseph說費(fèi)曼，Gartner副總裁兼Gartner研究員。

“存托信托結(jié)算公司通過其子公司為股piao，公司和市政，貨幣市場(chǎng)工具，和擔(dān)bao證券以及非處fang衍生工具提供，結(jié)算和信息服務(wù)，我們是共同基jin和保險(xiǎn)交易的領(lǐng)xian處理商，將基jin和運(yùn)營(yíng)商與其分銷網(wǎng)絡(luò)聯(lián)系起來，安全性對(duì)我們的業(yè)務(wù)至關(guān)重要，“DTCC信息安全官員Jim Routh說。 “像許多企業(yè)一樣，我們的軟件基礎(chǔ)設(shè)施是傳統(tǒng)應(yīng)用程序和新應(yīng)用程序的結(jié)合，因此我們需要一種解決方案，源代碼掃描工具fortify報(bào)告中文插件，可以處理我們環(huán)境中的技術(shù)多樣性，并將其輕松集成到我們的開發(fā)環(huán)境中。這樣有效“。

Fortify公司的Barmak Meftah補(bǔ)充說：“Fortify一直是廣泛覆蓋語(yǔ)言，平臺(tái)和IDE（集成開發(fā)環(huán)境）的，隨著這一發(fā)布，我們將領(lǐng)導(dǎo)層擴(kuò)展到四種新語(yǔ)言并支持RSA IDE。產(chǎn)品與服務(wù)副總裁。 “Fortify SCA 5.0為我們的客戶提供了更深層次的控制，分析和協(xié)作，以保護(hù)他們免受許多流xing和快速發(fā)展的Web 2.0編程語(yǔ)言和技術(shù)（包括JavaScript和PHP）中的威脅。