Fortify软件强化静态代码分析器使软件更快地生产强化SCAEclipse修复插件惠普企业HPE社区描述发布相似的项目评测联系我们描述用于Eclipse的HPESecurityFortify修补插件（EclipseRemediationPlugin）与HPESecurityFortify软件安全中心配合使用，可以从EclipseIDE向软件安全分析添加补救功能。EclipseRemediationPlugin是一个轻量级的插件选项，用于不需要AuditWorkbench和EclipseCompletePlugin的扫描和审核功能的开发人员.EclipseRemediationPlugin可以帮助开发人员快速轻松地了解所报告的漏洞并实施适当的解决方案。开发人员可以在Eclipse中编写代码时解决安全问题。您的组织可以使用软件安全中心的Eclipse修复插件来管理项目，并向相关开发人员分配具体问题。Fortify软件强化静态代码分析器使软件更快地生产HPFortify静态代码分析器我想知道比较WebInspect与FortifySCA？选项04-01-201209:56PM我将决定仅选择WebInspect和FortifySCA或FortifySCA。与FortifySCA的WebInspect有什么不同？（例如特征比较）WebInspect和FortifySCA都有用于测试如何相同或不同的模块或功能？可以Fortify仅使用源代码扫描还是使用URL扫描？Re：我想知道比较WebInspect与FortifySCA？选项04-05-201201:47PM在这里，您可以在WebInspect论坛中找到更好的运气：华克斯WebInspect是攻击Web应用程序的DAST工具。SCA是用于定位安全漏洞的SAST工具，是源代码。与任何DAST和SAST比较一样，它们都覆盖着重叠和差距，而不是像维恩图。两者可以在惠普的企业控制台后分析中汇集在一起，进行相关和审查。WebInspect可以：-Windows应用程序-只测试实时网址和网络服务-黑盒测试仪，处SCA：-运行在各种操作系统（Windows，源代码扫描工具fortify，*NIX，Mac）-可以在IDE中，从CLI或构建服务器运行-只测试源代码-白盒测试仪，处Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，源代码扫描工具fortify服务商，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，源代码扫描工具fortify版本，该规则被触发。我们决定启动“经常被滥用”的规则，源代码扫描工具fortifysca，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则华克斯-源代码扫描工具fortify版本由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展，目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证，标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展，共创美好未来。)