- 发布
- 苏州华克斯信息科技有限公司
- 电话
- 0512-62382981
- 手机
- 13862561363
- 发布时间
- 2023-01-05 10:15:04
FortifySCA源代码安全风险评估服务
服务背景
软件源代码的安全性越来越重要,黑ke越来越趋向利用软件代码的安全漏洞攻击系统,几乎75%的黑ke攻击事件与软件代码安全相关。为了加强软件源代码的安全性,由内而外解决企业面临的代码安全挑战。苏州华克斯信息科技有限公司联合业界代码安全风险评估产品(美国:fortify),帮助软件企业和项目降低软件安全风险,提高软件代码的安全性,提供灵活方便的源代码安全风险评估服务.本服务主要帮助企业查找和分析已有的软件源代码,识别其安全风险,并提供详细的分析和修复建议,帮助企业尽快尽早修复软件代码的安全缺陷,保障系统的安全性,从而保护企业软件的安全性,fortify价格表,保护企业信息系统资产及正常的信息化服务.
Fortify软件
强化静态代码分析器
使软件更快地生产
如何解决Fortify报告的扫描问题
已经注意到以下错误消息,但是软件保障计划办公室还没有关于如何解决这些问题的指导。建议尝试使用以下步骤解决这些问题:
生成日志文件并查看它以获取有关该问题的更多信息
打开支持票帮助
联系Fortify技术支持(fortifytechsupport@hpe.com)寻求帮助
如果这些步骤无法解决问题,请将您与Fortify技术支持部门的通讯连同V&V安全代码审查资料一起提供,并在准备报告时将其纳入考量
请注意,这不是错误消息的完整列表,并将更多地变得更加广泛:
错误代码
错误信息
笔记
1意外的异常:高阶分析不适用
101文件。 。 。没有找到N / A
1002,1003解析文件N / A时出现意外的异常
1005数据流分析期间的意外异常N / A
1009构建调用图N / A时出现意外异常
1038初始分析阶段N / A中出现意外异常
1142在内部存储器管理期间发生意外错误。扫描将继续,但内存可能会迅速耗尽,扫描结果可能不完整。 N / A
1202无法解析符号。 。 。 N / A
1207配置文件。 。 。无法找到网络应用程序N / A
1211无法解析类型N / A
1213无法解析字段N / A
1216无法找到导入(?)N / A
1227尝试加载类路径存档时发生异常...文件可能已损坏或无法读取。 N / A
1228属性文件。 。 。以连续标记结束。该文件可能已损坏。 N / A
1232格式错误或IO异常阻止了类文件。 。 。从被读取不适用
1236无法将以下aspx文件转换为分析模型。 N / A
1237以下对java符号的引用无法解决。某些实例可以通过调整提供给Fortify的类路径来解决,但是在所有情况下都不能解决此问题。
1551,1552多个ColdFusion错误(无法解析组件,找不到函数,意外令牌等)可以与使用不支持的ColdFusion版本相关。
12002找不到Web应用程序的部署描述符(web.xml)。 N / A
12004 Java前端无法解析以下包含N / A
12004 Python前端无法解析以下导入N / A
13509规则脚本错误可能是Fortify错误,但需要确认
某些错误消息可能是Fortify工具中的问题的结果。确认的问题以及如何处理这些问题,都会发布在OISSWA博客中,以及有关解析/语法错误的技术说明。已确认的Fortify问题也在本页顶部的表格中注明。
如果您在解决警告或错误消息时遇到问题,请参阅我们的常见问题解答以获取有关打开支持票证的信息。
参考
参见参考技术说明
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
允许所有的行动
应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。
Java安全套接字扩展(JSSE)提供两组API来建立安全通信,一个HttpsURLConnection API和一个低级SSLSocket API。
HttpsURLConnection API默认执行主机名验证,再次可以通过覆盖相应的HostnameVerifier类中的verify()方法来禁用(在GitHub上搜索以下代码时,大约有12,800个结果)。
HostnameVerifier allHostsValid = new HostnameVerifier(){
public boolean verify(String hostname,SSLSession session){
返回真
}
};
SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段,源代码审计工具fortify价格表,仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。
private void checkTrusted(X509Certificate [] chain,String authType,SSLEngine engine,boolean isClient)
throws CertificateException {
...
String identityAlg = engine.getSSLParameters()。
getEndpointIdentificationAlgorithm();
if(identityAlg!= null amp;amp; identityAlg.length()!= 0){
checkIdentity(session,源代码扫描工具fortify价格表,chain [0],identityAlg,isClient,
getRes(发动机));
}
...
}
当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时,识别算法设置为NULL,源代码检测工具fortify价格表,因此主机名验证被默认跳过。因此,如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置,则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。
这种记录的行为被掩埋在JSSE参考指南中:
“当使用原始SSLSocket和SSLEngine类时,您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭