Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用允许所有的行动应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个HttpsURLConnectionAPI和一个低级SSLSocketAPI。HttpsURLConnectionAPI默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。HostnameVerifierallHostsValid=newHostnameVerifier（）{publicbooleanverify（Stringhostname，SSLSessionsession）{返回真}};SSLSocketAPI不开箱即可执行主机名验证。以下代码是Java8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。privatevoidcheckTrusted（X509Certificate[]chain，StringauthType，SSLEngineengine，booleanisClient）throwsCertificateException{...StringidentityAlg=engine.getSSLParameters（）。getEndpointIdentificationAlgorithm（）;if（identityAlg！=null&&identityAlg.length（）！=0）{checkIdentity（session，chain[0]，identityAlg，isClient，getRequestedServerNames（发动机））;}...}当SSL/TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。这种记录的行为被掩埋在JSSE参考指南中：“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭FortifySCAPTA无需源代码，华北源代码审计工具fortify，部署简单方便与QA测试活动结合，源代码审计工具fortify规则，省时省力自动化完成测试，提供安全漏洞信息，使修复漏洞更快，源代码审计工具fortify工具，更容易能达到较高的测试覆盖率，发现更多安全漏洞，测试更加全mian软件开发人员：企业软件外包商或者内部开发人员。主要对所开发项目的漏洞进行修复。安全测试人员，主要从事使用FortifySCA对所有需要被测试项目的源代码进行安全测试。：一般为软件测试部的人员。安全审计人员：主要从事软件安全漏洞审计的人员，源代码审计工具fortifysca，一般与安全测试人员为同一个人。主要对所有项目的漏洞进行审计和漏洞信息发布。项目管理人员：主要从事软件安全测试事宜的管理，监督。以及与外包商/开发团队的协调工作。一般为安全处/部人员Fortify软件强化静态代码分析器使软件更快地生产强化SCAEclipse修复插件惠普企业HPE社区描述发布相似的项目评测联系我们描述用于Eclipse的HPESecurityFortify修补插件（EclipseRemediationPlugin）与HPESecurityFortify软件安全中心配合使用，可以从EclipseIDE向软件安全分析添加补救功能。EclipseRemediationPlugin是一个轻量级的插件选项，用于不需要AuditWorkbench和EclipseCompletePlugin的扫描和审核功能的开发人员.EclipseRemediationPlugin可以帮助开发人员快速轻松地了解所报告的漏洞并实施适当的解决方案。开发人员可以在Eclipse中编写代码时解决安全问题。您的组织可以使用软件安全中心的Eclipse修复插件来管理项目，并向相关开发人员分配具体问题。源代码审计工具fortify规则-华克斯由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！)