fortify总代理-华克斯

FortifySCA庞大的安全编码规则包

跨层、跨语言地分析代码的漏洞的产生

        C，

C++， .Net， Java， JSP，PL/SQL，源代码扫描工具fortify总代理， T-SQL， XML，

CFML

        JavaScript， PHP， ASP， VB， VBScript

精que地定位漏洞的产生的全路径

支持不同的软件开发平台

      Platform:

Windows， Solaris， Red Hat Linux，

                   Mac OS X， HP-UX， IBM

AIX

      IDEs       :

Visual Studio， Eclipse， RAD， WSAD

Source Code Analysis Engine（源代码分析引擎）

            数据流分析引擎-----跟踪，记录并分析程序中的数据传递过程的安全问题                    

           语义分析引擎-----分析程序中不安全的函数，方法的使用的安全问题

           结构分析引擎-----分析程序上下文环境，结构中的安全问题                        

           控制流分析引擎-----分析程序特定时间，状态下执行操作指令的安全问题

           配置分析引擎 -----分析项目配置文件中的敏感信息和配置缺失的安全问题                    

           特有的X-Tier?跟踪qi-----跨跃项目的上下层次，贯穿程序来综合分析问题

Fortify软件

强化静态代码分析器

使软件更快地生产

DevOps的安全状态

应用安全和DevOps报告2017

阅读更多

主要特征

高xiao

通过帮助开发人员通过增量扫描来提高编程效率，从而提高扫描时间，获得更快的结果，并加快软件投入生产所需的时间。

全mian

支持各种开发环境，语言，平台和框架，以在混合开发和生产环境中实现安全评估。

准确

由Fortify软件安全研究团队扩展和自动更新的da和完整的安全编码规则引导。

使用方便

通过脚本，插件和工具集成到任何环境中，以便开发人员能够快速轻松地启动和运行。

适用于任何应用程序

Fortify SCA支持的编程语言，fortify总代理，可以识别所有类型的应用程序的风险，并随着业务需求的增长而扩展。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，源代码检测工具fortify总代理，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，源代码审计工具fortify总代理，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。