Fortify SCA 简介
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找,从而将源代码中存在
的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的 提供。
1.Fortify
SCA 扫描引擎介绍:
Foritfy SCA
主要包含的五大分析引擎:
z 数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生
的安全问题。
z 语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
z 结构引擎:分析程序上下文环境,结构中的安全问题。
z 控制流引擎:分析程序特定时间,状态下执行操作指令的安全 问题。
z 配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全
问题。
z 特有的 X-Tier™跟zong器:跨跃项目的上下层次,贯穿程序来综合 分析问题
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
安全套接字层(SSL / TLS)是使用加密过程提供身份验证,机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份,必须交换和验证X.509证书。一方当事人进行身份验证后,协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数,保证了数据的完整性。
当使用SSL / TLS时,必须执行以下两个步骤,以确保中间没有人篡改通道:
证书链信任验证:X.509证书指ding颁发证书的证书颁发机构(CA)的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书,没有违规,则验证成功。
主机名验证:建立信任链后,客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。
当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时,可能会发生以下错误使用情况。
证明所有证书
应用程序实现一个自定义的TrustManager,使其逻辑将信任每个呈现的服务器证书,而不执行信任链验证。
TrustManager [] trustAllCerts = new TrustManager [] {
新的X509TrustManager(){
...
public void checkServerTrusted(X509Certificate [] certs,
String authType){}
}
这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验,我们通常会发现开发人员完全禁用证书验证,而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。
当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的安全感,因为它不会检测烟雾(不可信方)。实际上,当客户端连接到服务器时,验证例程将乐意接受任何服务器证书。
在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上,一些问题询问如何忽略证书错误,获取类似于上述易受攻击的代码的回复。这是关于投piao答案建议禁用任何信任管理。
Fortify软件
Fortify静态代码分析器
使软件更快地生产
HP Fortify静态代码分析器
FortifySCA
HP Fortify SCA和应用程序4.30
从您的计算机卸载HP Fortify SCA和应用程序4.30的指南
您可以在此页面上找到有关如何清除Windows Fortify SCA和Applications 4.30的详细信息。 Windows版本由Hewlett-Packard开发。有关Hewlett-Packard的更多信息,请点击这里。 HP Fortify SCA和应用程序4.30通常在C:\ Program Files \ HP_Fortify \ HP_Fortify_SCA_and_Apps_4.30目录中设置,但是根据安装程序时的用户选项,此位置可能有很大差异。您可以通过单击Windows的“开始”菜单并粘贴命令行C:\ Program Files \ HP_Fortify \ HP_Fortify_SCA_and_Apps_4.30 \ Uninstall_HPFortifySCAandApps_4.30.exe来删除HP Fortify SCA和应用程序4.30。请注意,可能会提示您提供管理员权限。 Uninstall_HPFortifySCAandApps_4.30.exe是程序的主文件,磁盘上大约需要4.56 MB(4785694字节)。
以下可执行文件包含在HP Fortify SCA和应用程序4.30中。他们在磁盘上占用20.26 MB(21239548字节)。
Uninstall_HPFortifySCAandApps_4.30.exe(4.56 MB)
autoupdate-windows.exe(6.90 MB)
sourceanalyzer.exe(149.50 KB)
eclipse.exe(312.71 KB)
关于HP Fortify SCA和应用程序4.30版本4.30。
使用卸载程序PRO删除HP Fortify SCA和应用程序4.30的方法
HP Fortify SCA和应用程序4.30是软件公司Hewlett-Packard发布的应用程序。有时,人们会尝试删除此应用程序。有时这可能很困难,因为手动执行此操作会对Windows程序卸载有所帮助。删除HP Fortify SCA和应用程序4.30的jia方式之一是使用Advanced Uninstaller PRO。这是如何做到这一点:
1.如果您的Windows系统上没有安装Advanced Uninstaller PRO,请安装它。这是一个很好的步骤,因为卸载程序PRO是一个非常有效的卸载程序和所有的实用程序,以da限度地提高Windows计算机的性能。
以上信息由专业从事源代码扫描工具fortify扫描的华克斯于2024/4/30 7:14:11发布
转载请注明来源:http://m.herostart.com/qynews/hksxxkj-2744267683.html