源代码审计工具fortify一年多少钱-苏州华克斯

Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

强化SCA

我开始使用自定义扩展名＃4，并希望自动化Fortify扫描。这是我第yi次真的不确定这应该是什么样的扩展。它是一个源代码控制分析器，所以感觉它应该是一个报告动作，如FxCop或NCover，但本机输出格式“FPR”是一个二进制的blob，显然不适合任何ReportType枚举选项。可以将其输出为可部署，但在概念上听起来错误。在某些情况下，我们可以直接将报告发送到中央服务器，因此如果您考虑将步骤部署到Fortify服务器，那么只需将其简单地随机部署就不完全不准确。

其他并发zheng在于，华东fortify一年多少钱，强化SCA有时可能非常缓慢，我几乎可以将其作为推广要求，如果我们可以找到一个很好的方式进行后台安排，但是我没有看到任何长时间运行的背景的例子任务在GitHub上的扩展。

这听起来像一个报告行动的好候选人，但使用ZippedHtml选项。虽然该报表输出二进制文件，您可以使用该文件的超链接将一个html文件写入磁盘，并将其用作索引。两者都将包含在zip文件中，并存在于报表中。如果FPR文件很大，源代码审计工具fortify一年多少钱，hao将其保存在磁盘上，否则它不会保存在数据库中。

还有一些额外的内置报告操作不在GitHub上;您可以通过反射器或其他东西找到或填写源代码申请表。

当然没有背景行动，但有一个选择可能是...

观看促销已完成事件的触发器

在后台运行报告使用BuildOutputs_AddOutput操作将报告添加到Build

添加促销要求以验证报告已完成

希望有所帮助。我会很好奇看到你想出了什么。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回"true"。

<谓词>

 <！[CDATA [

函数f：f.name是“verify”和f.enclosingClass.supers

包含[Class：name ==“javax.net.ssl.HostnameVerifier”]和

f.parameters [0] .type.name是“java.lang.String”和

f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和

f.returnType.name是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

 ]]>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

<谓词>

 <！[CDATA [

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .type.name是“java.security.cert.X509Certificate”

和f.parameters [1] .type.name是“java.lang.String”和

f.returnType.name是“void”而不是f包含[ThrowStatement t：

t.expression.type.definition.supers包含[Class：name ==

“（javax.security.cert.CertificateException | java.security.cert.CertificateException）”]

 ]]>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，源代码扫描工具fortify一年多少钱，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，源代码审计工具fortify一年多少钱，CategoryApplication安全性中的TagSDL，CategoryCustom规则

Fortify软件

强化静态代码分析器

使软件更快地生产

强化SCA 5.0扩展应用程序保护

Fortify软件更新app-dev安全和管理套件。

作者：Michael Desmond 11/01/2017 Fortify Software Inc.计划出货Fortify SCA 5.0，该版本是该公司旗舰应用开发安全套件的更新版本。

Fortify SCA 5.0目前处于beta版，预计将在年底前发货，是由三个模块组成的源代码分析器。 Fortify Tracer扫描代码并防止缺陷在设计生命周期的质量检查部分; Fortify Defender监视部署的应用程序代码，防止实时攻击;而Fortify Manager提供了一个基于Web的仪表板，用于监控活动和调整配置。

新版本5是通过Team Server Web界面实现的增强协作，使Fortify SCA仪表板轻触实时数据流。 Fortify产品和服务副总裁Barmak Meftah表示，新的仪表板允许管理员为不同的团队制定不同的角色和政策。

“到目前为止，我们的终端用户已经是一个巨大的打击，”Meftah说。