FortifySCA报表及测试结果管理功能要求
·
能够针对客户的个性化需求,勾选报表模板中的内容,并且可以自定义报表模板。包含加入用户企业的LOGO。
·
提供多种格式的检测报告,如:PDF、Xml,Word等。
·
提供将测试结果与OWASP
2007/2010/2013 TOP10漏洞的比较性报表。
·
能够编辑以往有效成功的修复经验描述在系统中,并可以整合在报告中输出,共享漏洞修复的经验。
·
测试结果可以以文件形式保存,无需数据库支持,减少部署时间和成本,也可以将测试结果作为测试资产集中存储在商用的数据库中,以便测试资产管理和备份工作。
·
对企业中多个项目的多次测试结果进行统一管理,能够按项目或项目开发语言等多种方式查看测试结果的发展趋势,帮助管理人员定制安全策略。
Fortify SCA 简介
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全mian地匹配、查找,从而将源代码中存在
的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的 提供。
1.Fortify
SCA 扫描引擎介绍:
Foritfy SCA
主要包含的五大分析引擎:
z 数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生
的安全问题。
z 语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
z 结构引擎:分析程序上下文环境,结构中的安全问题。
z 控制流引擎:分析程序特定时间,状态下执行操作指令的安全 问题。
z 配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全
问题。
z 特有的 X-Tier™跟zong器:跨跃项目的上下层次,贯穿程序来综合 分析问题
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
安全套接字层(SSL / TLS)是使用加密过程提供身份验证,机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份,必须交换和验证X.509证书。一方当事人进行身份验证后,协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数,保证了数据的完整性。
当使用SSL / TLS时,必须执行以下两个步骤,以确保中间没有人篡改通道:
证书链信任验证:X.509证书指ding颁发证书的证书颁发机构(CA)的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书,没有违规,则验证成功。
主机名验证:建立信任链后,客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。
当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时,可能会发生以下错误使用情况。
证明所有证书
应用程序实现一个自定义的TrustManager,使其逻辑将信任每个呈现的服务器证书,而不执行信任链验证。
TrustManager [] trustAllCerts = new TrustManager [] {
新的X509TrustManager(){
...
public void checkServerTrusted(X509Certificate [] certs,
String authType){}
}
这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验,我们通常会发现开发人员完全禁用证书验证,而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。
当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的安全感,因为它不会检测烟雾(不可信方)。实际上,当客户端连接到服务器时,验证例程将乐意接受任何服务器证书。
在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上,一些问题询问如何忽略证书错误,获取类似于上述易受攻击的代码的回复。这是关于投piao答案建议禁用任何信任管理。
Fortify软件
强化静态代码分析器
使软件更快地生产
HP Fortify静态代码分析器
Fortify SCA 5.0提供定制
为了帮助企业客户定制其应用程序安全规则和部署,Fortify已将规则开发和管理集成到Fortify SCA 5.0的审核工作台中,为开发人员通过管理安全开发的安全规则生成,编辑和排序提供了前所未有的灵活性。其中一些功能包括:
- 新的规则写入向导 - 用户可以快速创建自定义规则
回答一系列旨在确定代码中的问题的问题
这取决于唯yi的编码标准或专有库。
- API ScanView - Fortify SCA 5.0提供了一个用于呈现的界面
项目中使用的各种API,并突出显示未涵盖的API
通过Fortify安全编码规则包。从这个界面,用户可以
轻松创建相关API的新的自定义规则。
- Rulepack Manager - Fortify用于管理Rulepacks的界面
用户可以快速确定Rulepack的内容并允许它们
轻松过滤,排序和编辑规则。
- 规则编辑器 - 对于用户,Fortify的XML编辑器提供语法
突出显示,代码完成,验证和内联错误报告
适用于自定义规则。
Fortify SCA 5.0启用协作
全球企业需要跨开发团队的连接,能够在全球和全天候进行协作。 Fortify SCA 5.0为安全人员和应用程序开发人员提供了在不同视图中处理他们的项目的方法,允许两个组在不相互影响的情况下执行其功能。此外,此版本是第yi个应用程序安全解决方案,包括一系列跟踪和审核工具,可帮助开发人员在同一个项目上工作,而不管位置如何。后,Fortify SCA 5.0集成了强大的报告功能,团队领导可以用来展示整个企业的其他利益相关者的进步。具体协作功能包括:
- 协作审核 - 团队成员现在可以发布一个
源代码扫描到基于Web的应用程序进行审查,评论
开启和分类问题。
- 开发者模式 - 以开发人员为中心的模式着重于众所周知
质量问题,如空指针解引用,内存泄漏和
更多 - 以非常低的假阳性率,精简安全
编码过程。开发人员可以专注于重要的项目
他们,而安全人士可以看到所有潜在的问题
根据需要将他们带到开发商。
- 审计历史 - 在一个问题上执行的每个评论和行动
记录在时间轴上,以及时间戳和用户名
执行行动的人
- 手动审核整合 - 手动代码审查期间发现的问题
或其他形式的安全测试可以集成到审计
工作台。现在所有的代码级安全问题都可以合并在一个
强化SCA分析。
- 优先级排序 - 用户可以根据自己的需求分类问题
组织的命名,创建自定义问题文件夹和创建
过滤器自动填充文件夹中的特定类型的问题,
或者完全隐藏某些问题。
- 新的IDE支持 - Fortify SCA现在支持RSA 7,RAD 7和RAD 6。