Fortify sca——軟件安全的

領xian的市場份額

全世界da的10大銀行的9家、大型IT基建供應商、大型獨立軟體公司

支持市場上流xing、多樣化的編程語言

領xian解決方案

獲獎產品支持整個開發周期

超過150項專利

龐大的安全編碼規則包

的安裝部署

與Fortune100

企業及大型 ISVs

開發出來的jia做法

由世界頂jian安全專家鑒定

軟件安全問題的產生的根源：

如今的黑ke攻擊主要利用軟件本身的安全漏洞，這些漏洞是由不良的軟件架構和不安全的編碼產生的。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

HPE Security Fortify SCA和SSC是為DevOps SDLC提供動力的新功能

關于本網絡研討會

隨著威脅的發展，應用程序的安全性也將如此。 HPE Security Fortify繼續創建并開創新功能，進一步自動化和簡化應用安全測試程序。 了解與DevOps要求相一致的新的靜態掃描進展。 了解掃描分析如何進一步增強和改進審核流程，以提高安全掃描結果的相關性。

記錄2016年10月26日27分鐘

由

Fortify的產品經理Michael Right，Fortify的產品經理Emil Kiner

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規則濫用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服務的同時，我們經常開發一系列定制安全檢查和靜態分析規則，以檢測我們在源代碼安全評估中發現的不安全的編碼模式。這些模式可以代表特定于正在評估的應用程序，其架構/設計，使用的組件或甚至開發團隊本身的常見安全漏洞或獨特的安全弱點。這些自定義規則經常被開發以針對特定語言，并且可以根據客戶端使用的或者舒服的方式在特定的靜態分析工具中實現 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs審核不安全代碼的Scala

為Spring MVC構建Fortify自定義規則

用PMD保護發展

在本博客文章中，我將專注于開發Fortify SCA的PoC規則，以針對基于Java的應用程序，然而，相同的概念可以輕松擴展到其他工具和/或開發語言。

影響Duo Mobile的近漏洞證實了Georgiev等人的分析，他們展示了各種非瀏覽器軟件，庫和中間件中SSL / TLS證書驗證不正確的嚴重安全漏洞。

具體來說，在這篇文章中，我們專注于如何識別Java中SSL / TLS API的不安全使用，這可能導致中間人或欺騙性攻擊，從而允許惡意主機模擬受信任的攻擊。將HP Fortify SCA集成到SDLC中可以使應用程序定期有效地掃描漏洞。我們發現，由于SSL API濫用而導致的問題并未通過開箱即用的規則集確定，因此我們為Fortify開發了一個全mian的12個自定義規則包。