更改 HP Fortify C 规则优先级

Change HP Fortify C rule priority

我想知道是否有人知道如何在 HP Fortify 中更改规则的优先级?

例如在 C 中,类别 "Uninitialized Variables" 的强化优先级顺序为 LOW。出于审计目的,我需要更改为 HIGH。有什么方法可以更改规则,还是我需要创建新规则?

如果我需要创建一个新规则,我将如何创建一个匹配 "Uninitialized Variables" 的规则并将其设为全局供其他用户使用?

您没有办法修改现有的规则包。但没关系。我可以建议一些更简单的方法,它不涉及尝试创建或修改自定义规则(如果您不小心,这可能会变得非常混乱)。

您可以做的最简单的事情就是创建自定义文件夹过滤器。

  • 审核Workbench中打开您的FPR。 Select 您通常使用的正确 过滤器集
  • 您选择的过滤器集将成为 我们新的 可见性过滤器 。出于示例目的,我将使用 Security Auditor View。然后 select 过滤器 选项卡并单击 创建新过滤器
  • 使用下面显示的值,但如果需要可以随意调整,然后单击 保存 此时,您应该能够在 High 选项卡中看到 Uninitialized Variable 结果。

特殊考虑:

  • 现在对您的 Fortify Findings 组织的更改仅对这一个 FPR 有效。如果您希望在扫描其他项目时存在此过滤规则,那么您将需要修改默认的强化过滤器以创建称为自定义强化问题模板的东西。查看您的强化文档以获取更多相关信息。

  • 如果您尝试将此上传到 SSC(软件安全中心),您可能希望在其中执行一些报告,则 SSC 上的默认问题模板将用于排序和组织您的扫描生成报告时的问题。如果您希望将新的自定义 Fortify 问题模板用于报告和组织网络 UI,则需要使用新的自定义问题模板覆盖 SSC 服务器上的默认问题模板。同样,请参阅您的文档以获取更多相关信息。

  • 最后,有一种方法可以创建自定义 Fortify 控制流规则(需要与抑制规则结合使用),这将使重新分配成为可能您的特定问题的优先级元数据,但这非常困难。