fortify價格-蘇州華克斯信息

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

如何解決Fortify報告的掃描問題

已經注意到以下錯誤消息，但是軟件保障計劃辦公室還沒有關于如何解決這些問題的指導。建議嘗試使用以下步驟解決這些問題：

生成日志文件并查看它以獲取有關該問題的更多信息

打開支持票幫助

聯(lián)系Fortify技術支持（fortifytechsupport@）尋求幫助

如果這些步驟無法解決問題，請將您與Fortify技術支持部門的通訊連同V＆V安全代碼審查資料一起提供，并在準備報告時將其納入考量

請注意，這不是錯誤消息的完整列表，并將更多地變得更加廣泛：

錯誤代碼

錯誤信息

筆記

1意外的異常：高階分析不適用

101文件。 。 。沒有找到N / A

1002，1003解析文件N / A時出現(xiàn)意外的異常

1005數(shù)據(jù)流分析期間的意外異常N / A

1009構建調用圖N / A時出現(xiàn)意外異常

1038初始分析階段N / A中出現(xiàn)意外異常

1142在內部存儲器管理期間發(fā)生意外錯誤。掃描將繼續(xù)，但內存可能會迅速耗盡，掃描結果可能不完整。 N / A

1202無法解析符號。 。 。 N / A

1207配置文件。 。 。無法找到網絡應用程序N / A

1211無法解析類型N / A

1213無法解析字段N / A

1216無法找到導入（？）N / A

1227嘗試加載類路徑存檔時發(fā)生異常...文件可能已損壞或無法讀取。 N / A

1228屬性文件。 。 。以連續(xù)標記結束。該文件可能已損壞。 N / A

1232格式錯誤或IO異常阻止了類文件。 。 。從被讀取不適用

1236無法將以下aspx文件轉換為分析模型。 N / A

1237以下對java符號的引用無法解決。某些實例可以通過調整提供給Fortify的類路徑來解決，但是在所有情況下都不能解決此問題。

1551，源代碼檢測工具fortify價格，1552多個ColdFusion錯誤（無法解析組件，找不到函數(shù)，意外令牌等）可以與使用不支持的ColdFusion版本相關。

12002找不到Web應用程序的部署描述符（web.xml）。 N / A

12004 Java前端無法解析以下包含N / A

12004 Python前端無法解析以下導入N / A

13509規(guī)則腳本錯誤可能是Fortify錯誤，但需要確認

某些錯誤消息可能是Fortify工具中的問題的結果。確認的問題以及如何處理這些問題，都會發(fā)布在OISSWA博客中，以及有關解析/語法錯誤的技術說明。已確認的Fortify問題也在本頁頂部的表格中注明。

如果您在解決警告或錯誤消息時遇到問題，請參閱我們的常見問題解答以獲取有關打開支持票證的信息。

參考

參見參考技術說明

Fortify軟件

強化產品包括靜態(tài)應用程序安全測試[11]和動態(tài)應用程序安全測試[12]產品，以及在軟件應用程序生命周期內支持軟件安全保障或可重復和可審計的安全行為的產品和服務。 13]

2011年2月，F(xiàn)ortify還宣布了Fortify OnDemand，fortify價格，一個靜態(tài)和動態(tài)的應用程序測試服務。[14]

靜態(tài)代碼分析工具列表

HP WebInspect

惠普新聞稿：“惠普完成Fortify軟件的收購，加速應用程序生命周期安全”2010年9月22日。

跳轉軟件搜索安全漏洞（英文），源代碼審計工具fortify價格，，2004年4月5日

2004年4月5日，跳起來加強軟件的新方法

跳起來^桑德，保羅;貝克，莉安娜B.（08-09-08）。 “惠普企業(yè)與Micro Focus軟件資產交易達88億美元?！甭吠干纭Ｒ讶∠?010-09-13

跳起來^“開源社區(qū)的質量和解決方案”于2016年3月4日在Wayback機上歸檔。

跳起來^“軟件安全錯誤”歸檔2012年11月27日，在Wayback機。

跳起來“JavaScript劫持”于2015年6月23日在Wayback機上存檔。

跳起來^“通過交叉構建注入攻擊構建”

跳起來“看你所寫的：通過觀察節(jié)目輸出來防止跨站腳本”

跳起來^“動態(tài)污染傳播”

跳起來強化SCA

跳起來^ Fortify Runtime

惠普強化治理

跳高^ SD Times，“惠普建立了安全即服務”2011年2月15日。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過程提供身份驗證，機mi性和完整性的***廣泛使用的網絡安全通信協(xié)議。為確保該方的身份，必須交換和驗證X.509證書。一方當事人進行身份驗證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個安全的散列函數(shù)，保證了數(shù)據(jù)的完整性。

當使用SSL / TLS時，必須執(zhí)行以下兩個步驟，以確保中間沒有人篡改通道：

證書鏈信任驗證：X.509證書指ding頒發(fā)證書的證書頒發(fā)機構（CA）的名稱。服務器還向客戶端發(fā)送中間CA的證書列表到根CA?？蛻舳蓑炞C每個證書的簽名，到期（以及其他檢查范圍，例如撤銷，基本約束，策略約束等），從下一級到根CA的服務器證書開始。如果算法到達鏈中的***后一個證書，沒有違規(guī)，則驗證成功。

主機名驗證：建立信任鏈后，客戶端必須驗證X.509證書的主題是否與所請求的服務器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進行向后兼容。

當安全地使用SSL / TLS API并且可能導致應用程序通過受攻擊的SSL / TLS通道傳輸敏感信息時，可能會發(fā)生以下錯誤使用情況。

證明所有證書

應用程序實現(xiàn)一個自定義的TrustManager，使其邏輯將信任每個呈現(xiàn)的服務器證書，而不執(zhí)行信任鏈驗證。

TrustManager [] trustAllCerts = new TrustManager [] {

新的X509TrustManager（）{

...

public void checkServerTrusted（X509Certificate [] certs，源代碼審計工具fortify價格，

String authType）源代碼審計工具fortify價格

}

這種情況通常來自于自簽證書被廣泛使用的開發(fā)環(huán)境。根據(jù)我們的經驗，我們通常會發(fā)現(xiàn)開發(fā)人員完全禁用證書驗證，而不是將證書加載到密鑰庫中。這導致這種危險的編碼模式意外地進入生產版本。

當這種情況發(fā)生時，它類似于從煙霧探測器中取出電池：檢測器（驗證）將仍然存在，提供錯誤的安全感，因為它不會檢測煙霧（不可信方）。實際上，當客戶端連接到服務器時，驗證例程將樂意接受任何服務器證書。

在GitHub上搜索上述弱勢代碼可以返回13，823個結果。另外在StackOverflow上，一些問題詢問如何忽略證書錯誤，獲取類似于上述易受攻擊的代碼的回復。這是關于***投piao***建議禁用任何信任管理。