强化 SSC "attack surface" 选项
Fortify SSC "attack surface" options
当我使用 Fortify SSC 生成报告时,它列出了 "attack surfaces" 它所分析的:
Attack Surface:
Command Line Arguments:
(list of classes)
File System:
(list of classes)
GUI Form:
(list of classes)
Java Properties:
(list of classes)
...等等。
在 Eclipse 插件中,我可以使用 "Audit Guide" 菜单选项过滤掉某些攻击面。因此,例如,我可以推断我的应用程序适用于系统所有者值得信赖的环境,因此命令行输入是值得信赖的——因此,我可以勾选 "Taint from Command-Line inputs" 来隐藏这些问题。
但是我在 Web 版的 Fortify SSC 上没有看到等效的选项,我们的管理员告诉我没有这样的选项。
在协作的 Fortify 项目中,我能否获得基于攻击面的等效问题抑制?
审核指南只是一组您可以打开和关闭的过滤器。 "Taint from Command-Line Arguments" 审计指南问题有一个过滤器 taint:args。它根据您在审核指南中选中或取消选中问题来显示或隐藏问题。由于没有 SSC 报告具有此切换功能,因此您必须为每个项目提供审核结果。如果您想在 SSC 内部执行此操作,您可以按照以下步骤手动抑制这些项目:
- 打开您的项目版本
- 点击审计问题
- 左下方有一个搜索框。在该框中输入
taint:args,然后单击“搜索”按钮。
- Select 所有问题并根据您的审核标准标记它们。例如,将它们标记为 Not an Issue 然后取消它们。
@James Nix 的回答在技术上是正确的。
但更好的方法是:
1. 在 AWB 中为您的 FPR 设置审计指南过滤器。
2. 保存文件。
3. 从 Tools->Project Configuration 上传您的过滤器设置到服务器。在服务器上,过滤器存储在 "Project Template" 对象中。
4. 无论您在服务器上创建什么 Project Template,都将其分配给项目。
您的所有过滤器现在都在服务器上为该项目强制执行。无论在 FPR 中应用什么过滤器,服务器的项目模板都将优先。
当我使用 Fortify SSC 生成报告时,它列出了 "attack surfaces" 它所分析的:
Attack Surface:
Command Line Arguments:
(list of classes)
File System:
(list of classes)
GUI Form:
(list of classes)
Java Properties:
(list of classes)
...等等。
在 Eclipse 插件中,我可以使用 "Audit Guide" 菜单选项过滤掉某些攻击面。因此,例如,我可以推断我的应用程序适用于系统所有者值得信赖的环境,因此命令行输入是值得信赖的——因此,我可以勾选 "Taint from Command-Line inputs" 来隐藏这些问题。
但是我在 Web 版的 Fortify SSC 上没有看到等效的选项,我们的管理员告诉我没有这样的选项。
在协作的 Fortify 项目中,我能否获得基于攻击面的等效问题抑制?
审核指南只是一组您可以打开和关闭的过滤器。 "Taint from Command-Line Arguments" 审计指南问题有一个过滤器 taint:args。它根据您在审核指南中选中或取消选中问题来显示或隐藏问题。由于没有 SSC 报告具有此切换功能,因此您必须为每个项目提供审核结果。如果您想在 SSC 内部执行此操作,您可以按照以下步骤手动抑制这些项目:
- 打开您的项目版本
- 点击审计问题
- 左下方有一个搜索框。在该框中输入
taint:args,然后单击“搜索”按钮。 - Select 所有问题并根据您的审核标准标记它们。例如,将它们标记为 Not an Issue 然后取消它们。
@James Nix 的回答在技术上是正确的。
但更好的方法是:
1. 在 AWB 中为您的 FPR 设置审计指南过滤器。
2. 保存文件。
3. 从 Tools->Project Configuration 上传您的过滤器设置到服务器。在服务器上,过滤器存储在 "Project Template" 对象中。
4. 无论您在服务器上创建什么 Project Template,都将其分配给项目。
您的所有过滤器现在都在服务器上为该项目强制执行。无论在 FPR 中应用什么过滤器,服务器的项目模板都将优先。