华克斯(多图)-Fortify SCA教程

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或独特的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者***舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于J***a的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的***近漏洞证实了Georgiev等人的分析，Fortify SCA服务，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别J***a中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

Fortify SCA 扫描的结果如下：

Fortify SCA 的结果文件为.FPR 文件，包括详细的漏洞信息：漏

洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明 及修复建议等。如下：

分级报告漏洞的信息 项目的源代码 漏洞推荐修复的方法

漏洞产生的全路

径的跟踪信息

漏洞的详细说明

图2：Foritfy AWB 查看结果

3．Fortify SCA 支持的平台：

4．Fortify

SCA 支持的编程语言：

5．Fortify SCA plug-In

支持的有:

6．Fortify SCA 目前能够扫描的安全漏洞种类有：

目前Fortify SCA可以扫描出约 300

种漏洞，Fortify将所有安全

漏洞整理分类，根据开发语言分项目，再细分为 8 个大类，约

300

个 子类：

强化SCA与强化***之间的差异

WebInspect是与******匹配的动态代码分析工具。不幸的是，他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。

实际上WebInspect（使用WebInspect Enterprise集成到***中，这个控制台连接到***，有效地创建了一个新版本的AMP）和运行在J***a或.NET应用程序上的Runtime产品（以前称为RTA），并且可以在运行时执行各种各样的事情（记录/停止攻击等） -

1

@Keshi现在他们为Jenkins提供插件，并且可以与JIRA集成。 - 克里希纳·潘迪2月23日16时5分13分

请说明，同样的analyzser.exe（也称为SCA）由Audit Workbench和各种SCA插件（m***en，Jenkins，eclipse，Visual Studio，IntelliJ，XCode等）调用。 ***不运行SCA。 ***管理从SCA输出的FPR文件。 - WaltHouser Apr 14 '16 at 21:07