源代码检测工具fortify规则-华克斯(推荐商家)

Fortify软件

强化静态代码分析器

使软件更快地生产

如何解决Fortify报告的扫描问题

跳到元数据结束

由Matthew Condell创建，后由Charles Williams于二零零七年六月二十六日修改，转到元数据的开始

这个页面已经被供应商公开了

图标

题

在扫描我的应用程序时，Fortify报告了错误或警告。如何解决这些错误？

回答

Fortify可能会报告一些不同的错误消息。这里将列出常见的错误消息以及指向其他技术说明的指针，其中提供了有关如何解决这些问题的信息。要检索错误消息列表，请按照“如何查看Fortify报告的错误消息”中的说明进行操作。它也可能有助于生成调试日志文件，可以更好地了解问题。

常见的错误消息及其解决方案包括：

错误代码

错误信息

笔记

N / A分析期间没有发生警告没有发生错误。扫描很好去

N / A执行ASP.NET预编译时出错如何解决“执行ASP.NET预编译时出错”

-1错位的关闭标签[...]此错误可能不会影响扫描结果，但建议检查引用的文件以查看是否有错放的HTML标签。

1001，1381，1554，10000，...

解析文件或语法错误时出错如何解决文件解析或语法错误

1103转换器执行失败。这是Fortify 16.20扫描C＃6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息：Fortify 16.20“C＃6 / VB 14”中的“转换器执行失败”错误

1105，1480没有足够的内存可用来完成分析增加分配给Fortify的内存量：如何增加Fortify进行翻译的内存

1114功能。 。 。对于详尽的数据流分析来说太复杂了，源代码审计工具fortify规则，进一步的分析将被跳过（堆栈）如何解决“功能...太复杂”错误

Fortify软件

强化静态代码分析器

使软件更快地生产

HP Fortify静态代码分析器

Fortify SCA 5.0提供定制

为了帮助企业客户定制其应用程序安全规则和部署，Fortify已将规则开发和管理集成到Fortify SCA 5.0的审核工作台中，为开发人员通过管理安全开发的安全规则生成，编辑和排序提供了的灵活性。其中一些功能包括：

    - 新的规则写入向导 - 用户可以快速创建自定义规则

      回答一系列旨在确定代码中的问题的问题

      这取决于唯yi的编码标准或专有库。

    - API ScanView - Fortify SCA 5.0提供了一个用于呈现的界面

      项目中使用的各种API，并突出显示未涵盖的API

      通过Fortify安全编码规则包。从这个界面，fortify规则，用户可以

      轻松创建相关API的新的自定义规则。

    - Rulepack Manager - Fortify用于管理Rulepacks的界面

      用户可以快速确定Rulepack的内容并允许它们

      轻松过滤，排序和编辑规则。

    - 规则编辑器 - 对于用户，Fortify的XML编辑器提供语法

      突出显示，代码完成，验证和内联错误报告

      适用于自定义规则。

Fortify SCA 5.0启用协作

企业需要跨开发团队的连接，能够在和全天候进行协作。 Fortify SCA 5.0为安全人员和应用程序开发人员提供了在不同视图中处理他们的项目的方法，允许两个组在不相互影响的情况下执行其功能。此外，此版本是第yi个应用程序安全解决方案，包括一系列跟踪和审核工具，可帮助开发人员在同一个项目上工作，而不管位置如何。后，Fortify SCA 5.0集成了强大的报告功能，团队领导可以用来展示整个企业的其他利益相关者的进步。具体协作功能包括：

    - 协作审核 - 团队成员现在可以发布一个

      源代码扫描到基于Web的应用程序进行审查，评论

      开启和分类问题。

    - 模式 - 以开发人员为中心的模式着重于众所周知

      质量问题，如空指针解引用，内存泄漏和

      更多 - 以非常低的假阳性率，精简安全

      编码过程。开发人员可以专注于的项目

      他们，而安全人士可以看到所有潜在的问题

      根据需要将他们带到开发商。

    - 审计历史 - 在一个问题上执行的每个评论和行动

      记录在时间轴上，以及时间戳和用户名

      执行行动的人

    - 手动审核整合 - 手动代码审查期间发现的问题

      或其他形式的安全测试可以集成到审计

      工作台。现在所有的代码级安全问题都可以合并在一个

      强化SCA分析。

    - 优先级排序 - 用户可以根据自己的需求分类问题

      组织的命名，创建自定义问题文件夹和创建

      过滤器自动填充文件夹中的特定类型的问题，

      或者完全隐藏某些问题。

    - 新的IDE支持 - Fortify SCA现在支持RSA 7，RAD 7和RAD 6。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，源代码检测工具fortify规则，并且它总是返回"true"。

<谓词>

 <！[CDATA [

函数f：f.name是“verify”和f.enclosingClass.supers

包含[Class：name ==“javax.net.ssl.HostnameVerifier”]和

f.parameters [0] .type.name是“java.lang.String”和

f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和

f.returnType.name是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

 ]]>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

<谓词>

 <！[CDATA [

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .type.name是“java.security.cert.X509Certificate”

和f.parameters [1] .type.name是“java.lang.String”和

f.returnType.name是“void”而不是f包含[ThrowStatement t：

t.expression.type.definition.supers包含[Class：name ==

“（javax.security.cert.CertificateException | java.security.cert.CertificateException）”]

 ]]>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，源代码扫描工具fortify规则，以确保代码不会引入不安全的SSL / TLS使用。

https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则