苏州华克斯公司-上海fortify总代理

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，源代码审计工具fortify总代理，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，上海fortify总代理，该规则被触发，并且它总是返回"true"。

<谓词>

 <！[CDATA [

函数f：f.name是“verify”和f.enclosingClass.supers

包含[Class：name ==“javax.net.ssl.HostnameVerifier”]和

f.parameters [0] .type.name是“java.lang.String”和

f.parameters [1] .type.name是“javax.net.ssl.SSLSession”和

f.returnType.name是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

 ]]>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

<谓词>

 <！[CDATA [

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .type.name是“java.security.cert.X509Certificate”

和f.parameters [1] .type.name是“java.lang.String”和

f.returnType.name是“void”而不是f包含[ThrowStatement t：

t.expression.type.definition.supers包含[Class：name ==

“（javax.security.cert.CertificateException | java.security.cert.CertificateException）”]

 ]]>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

https://github.com/GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则

强化SCA与强化SSC之间的差异

WebInspect是与SSC匹配的动态代码分析工具。不幸的是，他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。

实际上WebInspect（使用WebInspect Enterprise集成到SSC中，这个控制台连接到SSC，有效地创建了一个新版本的AMP）和运行在Java或.NET应用程序上的Runtime产品（以前称为RTA），并且可以在运行时执行各种各样的事情（记录/停止攻击等） - 

1

@Keshi现在他们为Jenkins提供插件，并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分

请说明，同样的analyzser.exe（也称为SCA）由Audit Workbench和各种SCA插件（maven，源代码检测工具fortify总代理，Jenkins，eclipse，源代码扫描工具fortify总代理，Visual Studio，IntelliJ，XCode等）调用。 SSC不运行SCA。 SSC管理从SCA输出的FPR文件。 - WaltHouser Apr 14 "16 at 21:07

Fortify软件

强化静态代码分析器

使软件更快地生产

强化SCA Eclipse修复插件

惠普企业HPE社区

描述

发布

相似的项目

评测

联系我们

描述

用于Eclipse的HPE Security Fortify修补插件（Eclipse Remediation Plugin）与HPE Security Fortify软件安全中心配合使用，可以从Eclipse IDE向软件安全分析添加补救功能。 Eclipse Remediation Plugin是一个轻量级的插件选项，用于不需要Audit Workbench和Eclipse Complete Plugin的扫描和审核功能的开发人员.Eclipse Remediation Plugin可以帮助开发人员快速轻松地了解所报告的漏洞并实施适当的解决方案。开发人员可以在Eclipse中编写代码时解决安全问题。您的组织可以使用软件安全中心的Eclipse修复插件来管理项目，并向相关开发人员分配具体问题。