Security 加强SSC“攻击面”选项
当我使用Fortify SSC生成报告时,它列出了分析的攻击面:Security 加强SSC“攻击面”选项,security,fortify,Security,Fortify,当我使用Fortify SSC生成报告时,它列出了分析的攻击面: Attack Surface: Command Line Arguments: (list of classes) File System: (list of classes) GUI Form: (list of classes) Java Properties: (list of classes) 。。。等等 在Eclipse插件中,我可以使用Audit Guide菜单选项过滤掉某些攻击表面。因此,例如,我可以推断我的应用程
Attack Surface:
Command Line Arguments:
(list of classes)
File System:
(list of classes)
GUI Form:
(list of classes)
Java Properties:
(list of classes)
。。。等等
在Eclipse插件中,我可以使用Audit Guide菜单选项过滤掉某些攻击表面。因此,例如,我可以推断我的应用程序适用于系统所有者值得信任的环境,因此命令行输入是值得信任的-因此,我可以从命令行输入中勾选污点来隐藏这些问题
但是我在Fortify SSC的网络版本上没有看到类似的选项,我们的管理员告诉我没有这样的选项
在协作防御项目中,我是否可以获得同等的基于攻击面的问题抑制?审计指南只是一组过滤器,您可以打开和关闭它们。来自命令行参数的污点审核指南问题有一个过滤器污点:args。它根据您在《审核指南》中检查或取消检查问题来显示或隐藏问题。由于没有SSC报告具有此切换功能,因此您必须为每个项目提供审核结果。如果要在SSC内执行此操作,可以通过以下步骤手动抑制这些项: 打开您的项目版本 单击“审核问题” 左下角有一个搜索框。将taint:args放入该框中,然后单击搜索按钮。 选择所有问题,并根据您的审核标准进行标记。例如,将它们标记为非问题,然后抑制它们。
@詹姆斯·尼克斯的回答在技术上是正确的 但更好的方法是: 1.在AWB中为您的FPR设置审核指南过滤器。 2.保存文件。 3.从工具->项目配置将过滤器设置上载到服务器。在服务器上,筛选器存储在项目模板对象中。 4.无论您在服务器上创建了什么项目模板,都要将其分配给该项目
现在,服务器上该项目的所有筛选器都已强制执行。无论FPR中应用了什么过滤器,服务器的项目模板都将优先。否决票让我发笑。加强SCA问题在堆栈溢出时没有得到很好的接受。我甚至把其中一个关了起来,作为离题。对于大多数开发人员使用的工程过程来说,这是一个非常好和有趣的问题。太好了。非常感谢。