fortifySCA優點

從代碼的結構方面分析代碼，識別代碼結構不合理而帶來的安全弱點和問題。

·

對多層次、多語言的項目，可以跨層次、跨語言地對整個項目進行分析。找到貫穿在多個層次或者多種語言的安全問題?？梢灾С諻eb應用的三層框架多種語言整合測試如JSP/Java/T-SQL 或ASPX/C#/T-SQL。

·

支持檢測業界全的安全漏洞，工具能夠支持檢測的漏洞要能依從于國際權威組織，如美國軟件安全漏洞詞典CWE、開放式Web應用程序安全項目組織OWASP等

·

漏洞掃描規則支持客戶自定義。方便客戶添加特殊的掃描需求。同時提供友好的圖形化的自定義向導和編輯器，自動生成規則腳本。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

任何想法如何適用于iOS應用程序？ Fortify是否有任何Mac軟件通過我們可以掃描iOS代碼Objective-C / Swift代碼？

還有一個@Doug的補充上面提到的評論...從Fortify 16.20開始，SCA現在支持直接掃描.Net C＃/ ASP / VB源代碼 - 不再需要預編譯。

是 - Fortify SCA支持掃描Objective-C和Swift for iOS以及約20種其他語言和眾多框架。在Fortify SCA數據表中查看更多信息：

華克斯

您還可以通過Fortify on Demand上的SaaS來利用Fortify SCA，并讓專家運行掃描并為您審核結果：

華克斯

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規則濫用

允許所有的行動

應用程序不檢查服務器發送的數字證書是否發送到客戶端正在連接的URL。

Java安全套接字擴展（JSSE）提供兩組API來建立安全通信，一個HttpsURLConnection API和一個低級SSLSocket API。

HttpsURLConnection API默認執行主機名驗證，再次可以通過覆蓋相應的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時，大約有12,800個結果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不開箱即可執行主機名驗證。以下代碼是Java 8片段，僅當端點標識算法與空字符串或NULL值不同時才執行主機名驗證。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，identityAlg，isClient，

getRequestedServerNames（發動機））;

}

...

}

當SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時，識別算法設置為NULL，因此主機名驗證被默認跳過。因此，如果攻擊者在客戶端連接到“”時在網絡上具有MITM位置，則應用程序還將接受為“some-evil-”頒發的有效的服務器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當使用原始SSLSocket和SSLEngine類時，您應該始終在發送任何數據之前檢查對等體的憑據。 SSLSocket和SSLEngine類不會自動驗證URL中的主機名與對等體憑